Lücke bei Freigabe von App-Updates entdeckt - Misstrauen durchaus empfohlen.
Jene Forscher, die eine gravierende Lücke bei smarten Lautsprechern von Amazon und Google aufdeckten , versuchten bei ihrem Experiment auch, an die Passwörter der Amazon- beziehungsweise Google-Nutzer zu kommen. Die manipulierten Apps reagierten dabei auf jede Frage der Nutzer mit einer Fehlermeldung. Diese besagte, dass die entsprechende Funktion derzeit nicht verfügbar sei.
Misstrauen bei Frage nach Passwort empfohlen
Danach wurden die Anwender auf ein vermeintliches Sicherheits-Update verwiesen: "Bitte sagen Sie 'Start', gefolgt von Ihrem Passwort". Für unaufmerksame Nutzer musste das klingen, als ob die Aufforderung nicht mehr von der App, sondern direkt von Amazon kommt. Die Forscher erklärten, Anwender sollten immer misstrauisch sein, wenn sie nach ihrem Passwort gefragt werden und es laut sagen sollen.
>>>Nachlesen: Amazon Echo und Google Home geknackt
Mega-Lücke bei der Freigabe von App-Updates
In der Praxis richteten die Apps quasi keinen Schaden an, weil sie zunächst einmal unter den Tausenden von Skills und Aktionen gefunden und installiert werden mussten. Außerdem konnten die Berliner Forscher ein wichtiges Sicherheitsmerkmal nicht außer Kraft setzen: Die smarten Lautsprecher zeigen mit leuchtenden Farbsignalen an, dass sie die Sprache aufzeichnen. Nutzer, die auf die LED-Signale achteten, bekamen also mit, dass die Sprachübertragung immer noch läuft.
Das Experiment legte gravierende Schwachstellen bei der Freigabe von App-Aktualisierungen bei Amazon und Google offen. Sie achteten nur bei der erstmaligen Aufnahme der Apps in den Store darauf, dass die "Skills" oder "Aktionen" nicht wie Abhörwanzen funktionieren. Bei den Updates wurden die neu eingebauten Lecks nicht entdeckt.
>>>Nachlesen: Gravierende Lücke in 45 beliebten iOS-Apps
