Hidden Voice Commands: Getarnte Sprachbefehle ermöglichen Kontrolle über Android-Smartphones

Veröffentlicht am von Jens
google 

Mit Hilfe von Sprachassistenten wie dem in Google Now lassen sich viele Funktionen des Smartphones per Sprache steuern, was in den meisten Fällen sehr gut funktioniert und eine bequeme freihändige Bedienung ermöglicht. Doch diese Möglichkeit hat auch eine Schattenseite, wie nun ein Gruppe von Forschern eindrucksvoll demonstriert hat. Mit diesen Sprachbefehlen lässt sich von Außen, und völlig unbemerkt vom Nutzer, die Kontrolle über das Smartphone übernehmen.


Allein für Google Now gibt es über 150 Sprachbefehle, mit denen sich die unterschiedlichsten Dinge erledigen lassen. Ob nun das Ausführen der Websuche, das Starten einer App oder das Einstellen eines Alarms – alles ist nur ein Befehl entfernt und kann mit dem magischen Keyword „OK, Google“ eingeleitet werden. Doch leider ist die Spracherkennung noch nicht soweit, dass nur Befehle vom Besitzer entgegen genommen werden.

spracherkennung

Problematisch wird diese Funktion erst dann, wenn plötzlich ein anderer Nutzer die Kontrolle per Stimme übernimmt. Das würde der Besitzer des Smartphones zwar sehr schnell unterbinden, aber eben nur dann wenn er diesen „Angriff“ auch mitbekommt. Ein Team von Forschern zeigt nun, dass das nicht immer der Fall sein muss. Die Spracherkennung nimmt auch Befehle von einer stark verzerrten Stimme entgegen und scheint den Unterschied selbst nicht zu erkennen.

Das Problem dabei ist, dass die Sprache in den Beispielen so verzerrt ist, dass diese von einem Menschen kaum noch zu erkennen ist. In den Tests wurden die Befehle zu 95% von den Spracherkennungssystem verstanden, allerdings nur von 22 Prozent aller menschlichen Nutzer. Fügt man dann noch etwas Hintergrundgeräusche hinzu, dürfte der Mensch ziemlich sicher komplett aussteigen und das Smartphone hört weiter brav zu und führt diese Befehle aus. So kann ein Angreifer von Außen die Kontrolle übernehmen, ohne dass es der Besitzer mitbekommt.



In den Beispielvideos wird gezeigt, wie sich mit diesen verzerrten Befehlen eine Webseite aufrufen lässt, eine Telefonnummer anrufen lässt oder auch die Netzverbindung des Smartphones getrennt werden kann. Mit ersterem lässt sich etwa eine infizierte Webseite aufrufen die dann Schadcode installieren oder ausführen könnte. Zweites kann dazu führen, dass das Smartphone teure Mehrwertnummern anruft und dem Nutzer so hohe Kosten entstehen können.

Sicherlich ergeben sich durch die Kombination der Befehle und durch eventuelle weitere und tiefergehende Möglichkeiten in der Zukunft noch andere Szenarien für einen Angriff. Eine wirkliche Gefahr besteht derzeit noch nicht, aber die Forscher haben gezeigt dass sich die Entwickler dieser Sprachsteuerung auch in dieser Richtung Gedanken machen müssen. In der Beschreibung heißt es im übrigen auch, dass Googles Spracherkennung sehr viel anfälliger ist als Apples Siri.

» Hidden Voice Commands

[futurezone]


Teile diesen Artikel:

Facebook twitter Pocket Pocket