Home-Speaker machen Privatsphäre fraglich – Bug in Google-Home ermöglichte Ausspähen

4. Januar 2023von 2,8 Minuten Lesezeit

Für kritische Technologie-Journalisten und Researcher ist schon lange klar, dass die diversen Home-Speaker – also ein Gerät mit Mikrophone, Lautsprecher und direkter Verbindung zu Google, Amzon und ähnlichen – der Super-Gau für die Privatsphäre ist. Lauschangriffe sind zwar auch über Smartphones möglich, aber sie steuern wenigsten (noch?) nicht den Haushalt.

Einem aktuellen Bericht zufolge ermöglichte ein Bug in den intelligenten Lautsprechern von Google Home die Installation eines Backdoor-Kontos, das zur Steuerung des Geräts und zum Zugriff auf dessen Mikrofon-Aufnahmen verwendet werden konnte. Kurz gesagt: Hacker könnten die Google-Geräte übernehmen und Nutzer ausspionieren, indem sie ihre Gespräche belauschen.

Bleeping Computer berichtet, dass eine ein Bug (Fehler?) in den Google Home-Lautsprechern die Einrichtung eines Backdoor-Kontos ermöglichte, mit dem das Gerät ferngesteuert und auf den Mikrofon-Feed zugegriffen werden konnte, wodurch es möglicherweise zu einem Spionagewerkzeug wurde.

Die Schwachstelle wurde von dem Forscher Matt Kunze entdeckt, der eine Belohnung in Höhe von 107.500 US-Dollar für die Meldung des Bugs an Google im vergangenen Jahr erhalten hat. Kunze veröffentlichte Ende voriger Woche technische Details und ein Angriffsszenario, das die Schwachstelle veranschaulicht.

Während seiner Experimente mit einem Google Home Mini-Lautsprecher entdeckte Kunze, dass neue Konten, die über die Google Home-App erstellt wurden, über die Cloud-API Befehle an das Gerät senden konnten. Um den verschlüsselten HTTPS-Verkehr abzufangen und möglicherweise das Benutzerautorisierungs-Token zu erhalten, nutzte der Forscher einen Nmap-Scan, um den Port für die lokale HTTP-API von Google Home zu lokalisieren und einen Proxy einzurichten.

Kunze fand heraus, dass das Hinzufügen eines neuen Benutzers zum Zielgerät zwei Schritte erfordert: das Abrufen des Gerätenamens, des Zertifikats und der „Cloud-ID“ von der lokalen API. Diese Informationen ermöglichen es, eine Link-Anfrage an den Google-Server zu senden. Um einen nicht autorisierten Benutzer zu einem Google Home-Zielgerät hinzuzufügen, implementierte Kunze den Verknüpfungsprozess in ein Python-Skript, das die Extraktion der lokalen Gerätedaten automatisierte und die Verknüpfungsanforderung reproduzierte.

Kunze entdeckte die Probleme im Januar 2021 und übermittelte im März 2021 zusätzliche Details. Google hat alle Probleme im April 2021 behoben.

Der Patch enthält ein neues, einladungsbasiertes System zur Handhabung von Kontoverknüpfungen, das alle Versuche blockiert, die nicht auf Home hinzugefügt wurden.

Die Deauthentifizierung von Google Home ist immer noch möglich, kann aber nicht zur Verknüpfung eines neuen Kontos verwendet werden, so dass die lokale API, die die grundlegenden Gerätedaten ausspioniert hat, ebenfalls unzugänglich ist.

Man sollte sich darüber in Klaren sein, dass solche Fehler und Lücken in der Sicherheit von Geräten – die absichtlich oder unabsichtlich eingebaut werden – die Regel und nicht die Ausnahme in der digitalen Welt sind. Deshalb sollte man selbst auf die eigene Sicherheit achten. Für die Digitalindsutrie sind Daten das neue Erdöl und sie versuchen ständig die Grenzen des Erlaubten zu dehnen und kostenlose Services anzubieten um an die Daten der User zu kommen.

Und wir haben von Twitter gelernt, dass die Geheimdienste in den Firmen sitzen, mithören, mitlesen und zensieren.

Bild von antonbe auf Pixabay

Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.

Folge uns auf Telegram und GETTR


Google und andere Tech-Giganten kaufen still, heimlich und leise die zentralen Teile des Internets auf

Großangriff auf persönliche Gesundheitsdaten

Twitter Files 9.0: Koordination auch mit anderen Regierungsbehörden als dem FBI

15 Kommentare

  1. Andreas I. 4. Januar 2023 at 21:18Antworten

    Hallo,
    so dumme Leute, die nichts von Nullen und Einsen verstehen, kleben Kameras ab und – wenn nötig – zerstören oder blockieren Mikrophone mechanisch.
    Dann können irgendwelche supersmarten Programmierhelden ja mal versuchen, per Software den mechanischen Klebestreifen über der Kamera zu entfernen …
    Die echte Welt ist die echte Welt und virtuelle eben virtuell.

  2. DasKrokodil 4. Januar 2023 at 19:45Antworten

    Schon solche Abhörwanzen “Lautsprecher” oder gar “intelligente Lautsprecher” zu nennen, ist Betrug.

  3. Karsten Mitka 4. Januar 2023 at 18:34Antworten

    „in den intelligenten Lautsprechern von Google Home“ – Die Dinger sind genausowenig intelligent, wie deren Nutzer!

  4. Rex Cramer 4. Januar 2023 at 15:42Antworten

    Möglicherweise ?

    Es gab doch gerade eben erst Veröffentlichungen hinsichtlich der Aktivitäten von kommerziellen Firmen wie Anomaly 6 und Toka, die genau solches als Dienstleistung anbieten. Offiziell bislang nur staatlichen Akteuren wie Geheimdiensten. Die sind ja bekanntlich völlig unproblematisch, denn die wollen nur unser Bestes.

    https://www.heise.de/news/Dystopische-Technologie-Startup-hackt-und-manipuliert-Ueberwachungskameras-7444676.html
    https://thegrayzone.com/2023/01/03/british-spy-tech-ukraine-war/

    Noch besser als das Alexa- und Google Home Zeugs sind allerdings die zahllosen chinesischen IOT-Geräte mit Steuerung über Smartphone Apps. Deren Software wird nahezu durchweg von irgendwelchen Hinterhoffirmen zusammengeklöppelt unter Weglassen jeglicher Aspekte wie Security oder auch nur QS. Von Update-Optionen ganz zu schweigen. Diese Teile stehen selbst weniger begabten Hackern offen wie Scheunentore – und eröffnen sehr oft über die zugehörigen „Apps“ auch gleich noch die Hintertür ins Smartphone. Ein gefundenes Fressen für jeden IT Kriminellen. Nicht nur die staatlichen.

    Wer sich Alexa/Google Home/IOT-Geräte ins Haus stellt, dürfte auch kein Problem mit „digitalem Bargeld“, biometrischen ID Cards, Social Scoring, „Smart Cities“ und sonstigem von interessierten Kreisen empfohlenem „Fortschritt“ haben.

  5. Mine 4. Januar 2023 at 13:49Antworten

    My home is my castle. Ich wohne in einem Funkloch. Selbst, wenn die wollten, bei mir kommen sie nicht rein. Ich habe übrigens sehr schwere Canton Boxen zu meiner Denon Anlage … damit komme ich weiterhin aus. Kein Bedarf.

  6. David K. 4. Januar 2023 at 13:35Antworten

    Wenn es nur der Datenklau für den Profit wäre, aber wo smart drauf steht, ist Überwachung drinnen! Das wird in nicht allzu ferner Zukunft dazu führen, daß kein genereller Lockdown ausgerufen werden muß, sondern Menschen in ihren Smarthomes eingesperrt werden können. Daher sollte man sich gegen alles Smarte und auch Digitale wehren, indem man diese Dinge boykottiert.
    Und die propagierte Bequemlichkeit führt direkt in die Sklaverei. Leider sehen das nur wenige und es ist schwer, sich gegen Einführungen wie den Smartmeter zu wehren. Und gegen die bequeme digitale Währung wird es auch kaum Widerstand geben. Traurig!

    Bleibt ungeimpft,
    David

    • Frühling 6. Januar 2023 at 18:13Antworten

      @Veron. Warum wollen Menschen ein schlüsseloses Auto, das mit Elektronik und Überwachungsmodulen nur so vollgepackt ist? Weil sie es chic finden und sie sich so am Puls der Zeit wähnen. Stelle ich zumindest in meinem Umfeld fest. Alexa nach dem Wetter zu fragen halten viele für den Gipfel von: Ich war als einer der ersten dabei. Dabeisein, bei den ersten (ahnungslosen und kritiklosen) ist heutzutage alles. Ich gucke mir das lieber aus der zweiten Reihe an.

  7. Pet von der Werft 4. Januar 2023 at 13:02Antworten

    Welcher Hersteller sollte denn so was anbieten (lokales Smart home)?

    • eti 4. Januar 2023 at 13:35Antworten

      Ein Rasperry Pi mit open Source Software

  8. Pierre 4. Januar 2023 at 12:42Antworten

    Wenn schon „Smart Home“, dann nur lokal und ohne Datenkraken-Anbindung.

    So mache ich es jedenfalls…

  9. Jens Tiefschneider 4. Januar 2023 at 12:34Antworten

    Bug?

  10. Egon 4. Januar 2023 at 11:37Antworten

    Mir sind solche Geräte nicht ganz geheuer und kenne den Hintergrund von Herstellern. Auch andere Geräte die viele Privatdaten verlangen, um erst ein Gerät Nutzbar zu machen. Fieser Hinterhalt. Wenn man in solche Branchen gearbeitet hat weiß man auch was einem erwartet beim Kauf solche Geräte. Privatsphäre scheint für viele nicht so wichtig zu sein, dass sie Blind damit hantieren. Prüfen und Hinterfragen sollten im Vordergrund sein.

  11. P. H. 4. Januar 2023 at 9:50Antworten

    Daher sollte man nie zu schnell „cool“ sagen bei solchen Erfindungen. Bequemlichlichkeit und Spielerei haben einen hohen Preis. Hersteller sind nur an Daten interessiert, die Bares bringen.

    • Veron 4. Januar 2023 at 10:37Antworten

      Sehe ich genau so. Fernbedienung mit Tasten ist ausreichend für TV, Musik kann ich direkt aussuchen und anwählen, auch selbst in den Kühlschrank schauen. Warum wollen Leute Sachen haben, die ihnen die einfachsten Tätigkeiten und ggf. das Denken abnehmen?

      • Wahrheitssuchende 4. Januar 2023 at 20:09

        weil Faulheit eben bequem ist, lach…

Wir freuen uns über jeden Kommentar, aber ersuchen einige Regeln zu beachten: Bitte bleiben wir respektvoll - keine Diffamierungen oder persönliche Angriffe, keine (Ab-)Wertungen und bitte auch keine Video-Links und Texte mit roten Rufzeichen. Da wir die juristische Verantwortung für jeden veröffentlichten Kommentar tragen müssen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.

Aktuelle Beiträge