Wenn Delfine das Smart Home austricksen - InnovationFestival @karlsruhe.digital

Als Partner der Bunten Nacht der Digitalisierung unterstützte die aramido GmbH bereits im Oktober 2019 das Ziel, Digitalisierung in Karlsruhe für jeden sicht- und erlebbar zu machen. Auch dieses Jahr ist aramido dabei, wenn das InnovationFestival die besten digitalen Innovationen aus der TechnologieRegion auf die Bühne bringt. Aus rund 60 Bewerbungen hat die Jury, bestehend aus Steuerkreis­mitgliedern der Initiative karlsruhe.digital, 15 digitale Innovationen aus der Karlsruher Wissenschaft, Wirtschaft, Kultur und Verwaltung ausgewählt. Die Highlights werden am 16. Oktober auf der Bühne im ZKM präsentiert und per Livestream kostenfrei und ohne Anmeldung zugänglich gemacht.

Wie Sie hören, hören Sie nichts

Gegen 18 Uhr führt Maximilian Stauß in seinem Impulsvortrag "Wenn Delfine das Smart Home austricksen" die Dolphin Attack vor. Mit dem Angriff auf einen Amazon Echo Dot demonstriert er, wie Smartphones und Smart Home-Geräte durch Sprach­befehle im Ultraschall-­Bereich angegriffen werden können, ohne dass Menschen es hören. Der Fokus des Vor­trags liegt auf dem Live Hacking und der Diskussion möglicher Angriffs­szenarien. Zudem gibt er Tipps, wie die innovativen Techno­logien genutzt werden können, ohne Angreifern im wahrsten Sinne des Wortes Tür und Tor zu öffnen.

Die Angreifbarkeit der Smart Home-Geräte bleibt oft unbeachtet

Sprach­assistenten wie Siri, Google Now oder Alexa haben in den letzten Jahren zunehmend an Ver­brei­tung gewonnen. Während die Integration dieser Geräte in so­genan­nten Smart Homes zu einer Viel­zahl neuer Anwendungs­möglichkeiten führt, entstehen damit auch auch eine ganze Reihe neuer Sicherheits­risiken. In diesem Zusammen­hang wird hauptsächlich über den Daten­schutz und die Über­tragung der Sprach­aufnahmen gesprochen, die Angreif­barkeit der Geräte bleibt dabei oft unbeachtet – oder ungehört, wie bei der Dolphin Attack.

Die 2017 erstmals wissenschaftlich veröffentlichte Dolphin Attack greift Sprach­erkennungs­systeme in für Menschen unhörbaren Frequenz­bereichen an. Dazu werden Sprach­nachrichten in für Menschen nicht wahrnehm­bare Fre­quenzen transformiert und mit leistungs­fähigen Laut­sprechern abgespielt. Durch physikalische Eigen­schaften der verbauten Mikro­phone wird das erhaltene Audio­signal demoduliert und die ursprüngliche Sprach­nachricht wieder zurück gewonnen, sodass sie verarbeitet und ausgeführt werden kann.

Das Ziel der Dolphin Attack ist es, unbemerkt Befehle an Geräte zu senden

Sofern ein Angriff technisch durchgeführt werden kann besteht die Ein­schränkung in den Fähigkeiten des angegriffenen Geräts. Je nach Grad der Vernetzung beispielsweise in einem Smart Home können durch den Sprach­assistenten auch Lichter, Thermostate, Rolladen oder sogar Türen bedient werden, was signifikante Eingriffe in die Sicherheit darstellt. Ohne weitere vernetzte Geräte besteht die Möglichkeit, über Amazon Echo Produkte im Namen des Account­besitzers zu bestellen, die ein Angreifer dann abfangen könnte. Der Zugriff auf den Account und damit auf die Identität des Angegriffenen kann außerdem ausgenutzt werden, wenn Nachrichten wie E-Mails oder SMS im Namen des Opfers versandt werden. Auch verbundene Services wie Kalender, Einkauf­listen oder Taxi-­Dienste wie Uber können so böswillig missbraucht werden.

Der Referent

Als Be­rater für Informations­sicher­heit ent­wickelt Maximilian Stauß Sicher­heits­konzepte nach Security­-by-­Design-­Prin­zipien mit dem Ziel, Unter­nehmen ein bes­seres Ver­ständ­nis über Be­drohun­gen und Schutz­maß­nahmen in der digi­talen Welt zu er­möglichen. Die Dolphin Attack konnte er bereits in seinem Studium am Karlsruher Institut für Technologie implementieren.