Wer sich Technik ins Haus holt, macht sich angreifbar. Denn selbst bei als vergleichsweise sicher geltenden Systemen werden immer wieder neue Angriffsmöglichkeiten entdeckt, die unerlaubten Zugriff ermöglichen.

So etwa auch bei den Smart Speakern von Google. Die Geräte des Suchmaschinen-Riesen haben eigentlich eine recht gute Historie in Bezug auf Sicherheitslücken. Schwachstellen entstehen meist eher durch schwache WiFi-Passwörter oder das Klicken auf Phishing-Mails.

Dennoch hätten Angreifer bis 2021 die Chance gehabt, sich weitreichende Kontrolle über Googles Smart Speaker zu sichern, wie nun bekannt wurde.

Wie ihr euer eigenes Smart Home sicherer machen könnt, verrät euch Frederic in seinem Artikel:

Hacker hätten heimlich lauschen können

Entdeckt hat die Schwachstelle der Cybersicherheits-Forscher Matt Kunze. In einem Blog-Beitrag verrät er, wie Hacker auch aus der Ferne die Kontrolle über Googles Smart Speaker hätten übernehmen können.

Durch eine Lücke in Googles Cloud-API hätten sich die Angreifer Zugriff zur Google Home App des Opfers verschaffen können – und sich von dort aus weiter zu gekoppelten Geräten vorarbeiten können.

Dabei erstellte der Angreifer zuerst einen Google-Account und begab sich dann in die Reichweite des Google-Home-Gerätes des Opfers. Über die Schwachstelle konnte er sich jetzt mit dem Netzwerk verbinden, das die Google-Geräte bei der Ersteinrichtung nutzen. Von dort aus war dann ein Verbinden mit dem Google-Account des Opfers über ein Python-Skript möglich.

Nach der Übernahme hätte man weitreichenden Zugriff im Smart Home des Opfers gehabt. Als Beispiele nennt er etwa das heimliche Abhören über einen stillen Anruf auf dem Gerät oder das Vorbereiten weiterer Attacken, um etwa das WiFi-Passwort abzugreifen.

Wie ein solcher heimlicher Anruf aussehen kann, zeigt er in einem Video auf Youtube.

Link zum YouTube-Inhalt

Die Schwachstelle ist mittlerweile behoben

Google wurde von Kunze im März 2021 über die Schwachstelle informiert, nachdem er die Lücke im Januar festgestellt hatte. Seit April 2021 ist das Problem durch Google behoben, Besitzer eines Smart Speakers von Google mit aktueller Firmware müssen also nicht selbst reagieren.

Als Belohnung für die Entdeckung der Schwachstelle bekam Kunze etwas mehr als 100.000 US-Dollar von Google. Seines Wissens nach wurde die Lücke nie tatsächlich von Angreifern ausgenutzt, um sich Zugang zu fremden Smart Homes zu verschaffen.

Von der Sicherheitslücke nicht betroffen waren Googles Smart Displays, also Smart Speaker mit eigenem Bildschirm. Diese verlangen bei der Einrichtung das Scannen eines QR-Codes und schützen das Einrichtungs-Netzwerk mit WPA2. Ein Angreifer hätte daher stets physischen Zugang zu dem Speaker gebraucht, um die Sicherheitslücke auszunutzen.

Vor einer großen Menge weiterer unentdeckter Schwachstellen muss man sich zudem laut Kunze nicht fürchten. Nach Aussage des Sicherheitsforschers sind die Nest- und Home-Geräte von Google sonst ziemlich gut gesichert. Zudem könnten Angreifer im Fall einer erfolgreichen Übernahme meist nicht mehr machen, als ein paar grundlegende Einstellungen anzupassen.

Erst kürzlich hat Google ein neues Design für seine Smart-Home-App vorgestellt. Wie die aussieht und wie ihr schon jetzt der Beta-Version beitretet, erfahrt ihr hier:

Sind es Schwachstellen wie diese, die euch vor dem Smart Home zurückschrecken lassen? Oder geht ihr das Risiko wie bei anderen Technik-Geräten bewusst ein? Schreibt uns eure Meinung zum Thema gerne in die Kommentare!