Googles Home Hub birgt Sicherheits-Risiken - Hersteller wiegelt ab

Wie viele andere Anbieter will auch Google in dem von Amazon eröffneten Markt für Sprachassistenten im Wohnzimmer mitspielen. Doch der Home Hub des Unternehmens lässt sich wohl ziemlich einfach von Angreifern manipulieren und gibt im Zweifel auch so manche Daten preis - der Anbieter spielt die Probleme aber herunter. Der Sicherheitsforscher Jerry Gamblin hatte gleich mehrere Optionen veröffentlicht, mit denen sich Googles Home Hub manipulieren lässt. Es handelt sich hier in der Regel um einzelne Zeilen von XML-Code, die an das System geschickt und von diesem auch ohne Authentifizierung angenommen und ausgewertet werden. Hier bietet sich unter anderem die Möglichkeit, das System zu Neustarts und damit Ausfällen zu zwingen.

Mit anderen Instruktionen lassen sich aber auch verschiedene, für Angreifer womöglich interessante Daten abrufen. Diese verraten zwar nicht unbedingt etwas Intimes über den Nutzer, können im Zweifelsfall aber eben weiterführende Attacken auf die lokale Infrastruktur ermöglichen. Gamblin erklärte, dass er hier vor allem erstaunt darüber war, dass seit Jahren verankerte Praktiken im Bereich der Systemsicherheit schlicht vernachlässigt wurden.

Ja, aber...

Google reagierte mit einer Stellungnahme, in der die Angaben des Sicherheitsforschers heruntergespielt wurden. Hier hieß es beispielsweise, dass die APIs, die der Sicherheitsforscher angesprochen hat, dem Zweck dienen, die Home Hubs über eine Smartphone-App zu konfigurieren. Und dabei würden sie auch nur Anweisungen entgegennehmen, wenn sich das jeweilige Gerät im gleichen WLAN befindet.

Dieses Argument ist aber eigentlich auch schon seit Jahren kein Beleg für hinreichende Sicherheit mehr - im Gegenteil. Denn oft genug erfolgen Angriffe auf Systeme von Insidern. Und selbst wenn nicht: Insbesondere Android-Smartphones stehen immer wieder wegen mangelhafter Sicherheit in der Kritik und können bereits selbst als Angriffsvektor von Außen dienen. Und wenn das Netzwerk an sich durch einen anfälligen Router betroffen ist, hilft auch die Beschränkung auf die lokale Kommunikation nicht mehr.

Siehe auch: Auf zehn Meter genau: Google Home & Chromecast leaken Standortdaten