Google-Home-Lautsprecher ermöglichten Ausspähen von Gesprächen

Diesen Skandal hätte sich Google sicherlich gerne erspart: Hacker haben einen Weg gefunden, Gespräche, die in der Nähe von Google Home-Lautsprechern geführt wurden, mitzuhören. Das Ausspionieren wurde durch einen Software-Fehler ermöglicht. Diese Schwachstelle wurde mittlerweile von Google behoben, zeigt aber einmal mehr, wie heikel die smarten Lautsprecher sein können. Wie die Schwachstelle entdeckt wurde und was genau dahintersteckt, berichtet jetzt das Online-Magazin Bleeping Computer.

Demnach meldete ein Forscher bereits im vergangenen Jahr die Sicherheitslücke an Google und kassierte dafür 107.500 Dollar - eine verhältnismäßig hohe Belohnung, die auch zeigt, wie ernst das Problem war. Google schloss die Schwachstelle und erst jetzt hat der Entdecker sich selbst zu Wort gemeldet.


Hacker konnten sich dabei für die intelligenten Google Home-Lautsprecher ein Backdoor-Konto installieren, mit dem das Gerät dann beliebig aus der Fern angesteuert und durch Zugriff auf das Mikrofon in ein perfektes Spionage-Gerät verwandelt werden konnte.

Weitreichender Angriff

Der Sicherheitsforscher hatte diese Möglichkeit beim Experimentieren mit seinem Google Home Mini entdeckt. Er fand den Port für die lokale HTTP-API von Google Home und richtete einen Proxy ein, um den verschlüsselten HTTPS-Verkehr abzufangen, in der Hoffnung, das Autorisierungs-Token des Benutzers abgreifen zu können. Der Forscher fand dabei heraus, dass das Hinzufügen eines neuen Nutzers zum Zielgerät ein zweistufiger Prozess ist, für den der Gerätename, das Zertifikat und die "Cloud-ID" aus der lokalen API benötigt werden.

Mit seinen gesammelten Informationen konnte er letztendlich einen Angriff starten und selbst das Mikrofon starten, um Gespräche aufzuzeichnen. Google hat die Sicherheitslücken, die der Forscher ausnutze, im April 2021 behoben. Es ist nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wurde. Infografik: Smarte Sicherheitstechnik wird stärker nachgefragt Siehe auch: