Sicherheitsforscher der Universität Georgetown haben eine Schwachstelle in Apps und Betriebssystemen mit Sprachsteuerung ausgemacht, mit der Angreifer Mobilgeräte unbemerkt übernehmen könnten. Möglich wird dies durch beispielsweise in Videos versteckte Kommandos, die von in der Nähe befindlichen Smartphones als Sprachbefehl ausgelegt werden können.
In einem Forschungspapier wollen die Entdecker der Schwachstelle ihre Erkenntnisse auf der im nächsten Monat stattfindenden USENIX-Sicherheitskonferenz offenlegen. Bis dahin gibt es lediglich ein Video, in dem die Methode vorgestellt wird. Für das menschliche Ohr sind die versteckten Befehle nur schwer zur verstehen. Die auf Smartphones installierte Software erkennt die an ein dämonisches Grunzen erinnernden Kommandos jedoch häufig ohne Probleme. So lassen sich beispielsweise URLs auf einem in der Nähe befindlichen Mobilgerät öffnen, wo dann wiederum Malware lauern kann, die das Gerät infiziert und unter die Kontrolle des Hackers bringt.
Die Erfolgsquote liege zwar nicht bei 100 Prozent, durch die Menge an Klicks, die Videos auf YouTube oder ähnlichen Plattformen bekommen, könnten jedoch schnell Tausende Mobilgeräte auf den Trick hereinfallen. So führten die Befehle “What is my current location” oder „Turn airplane mode on“ häufig zum gewünschten Ergebnis.
Die Forscher fordern Hersteller von Software, die Sprachbefehle erkennen kann, daher dazu auf, entsprechende Schutzmaßnahmen in ihre Produkte zu integrieren. Dies ließe sich beispielsweise mit Filtern realisieren, die zwischen menschlicher Stimme und computergenerierten Tönen unterscheiden. Wie sich Endanwender vor derartigen Attacken schützen können, ließen die Forscher noch offen. Wer nicht zwingend auf Sprachbefehle auf seinem Mobilgerät angewiesen ist, sollte die Funktion aber besser vorerst deaktivieren.
Google doppelt gegen Angreifer absichern
Autor: Michael Söldner, Autor
Michael Söldner schreibt News zu den Themen Windows, Smartphones, Sicherheit, Hardware, Software, Gaming, Auto sowie Raumfahrt auf pcwelt.de.