Wie die Dolphin-Attacke Angreifern Tür und Tor im Smart Home öffnet

Rund 2000 Zuschauer und Zuschauerinnen aus 16 Ländern verfolgten am 16. Oktober 2020 das erste InnovationFestival @karlsruhe.digital im Live­stream. Speaker aus der TechnologieRegion präsentierten die besten Innovationen rund um Themen wie Smart City, Mobilität und Künstliche Intelligenz auf der Bühne des ZKM. In einem 10-minütigen Live-Hacking-Vortrag "Wenn Delfine das Smart Home austricksen" de­mon­strier­te der Sicher­heits­berater Maximilian Stauß von aramido die Dolphin-Attacke mit dem Angriff auf einen Amazon Echo Dot. Dabei führte er dem Publikum vor, wie Smartphones und Smart Home-Geräte durch Sprach­befehle im Ultraschall-­Bereich angegriffen werden können, ohne dass Menschen es hören.

Angriffe auf Sprach­assistenten wie Siri, Google Assistant oder Alexa bleiben ungehört

Während die Integration von Sprach­assistenten in so­genan­nten Smart Homes zu einer Viel­zahl neuer Anwendungs­möglichkeiten führt, entstehen damit auch auch eine ganze Reihe neuer Sicherheits­risiken. Ein Sicherheitsrisiko stellt die 2017 erstmals wissenschaftlich veröffentlichte Dolphin-Attacke dar. Sie greift Sprach­erkennungs­systeme in für Menschen unhörbaren Frequenz­bereichen an. Dazu werden Sprach­nachrichten in für Menschen nicht wahrnehm­bare Fre­quenzen transformiert und mit leistungs­fähigen Laut­sprechern abgespielt. Durch physikalische Eigen­schaften der verbauten Mikro­phone wird das erhaltene Audio­signal demoduliert und die ur­sprüng­liche Sprach­nachricht wieder zurück gewonnen, sodass sie verarbeitet und ausgeführt werden kann. Diese Sicherheitslücke betrifft alle gängigen Sprachassistensysteme von Amazon Alexa über Google Assistant, Apple Siri, Microsoft Cortana bis zu Samsung Bixby.

Risiken der Dolphin-Attacke hängen von den Fähigkeiten des angegriffenen Geräts ab

Je nach Grad der Vernetzung beispielsweise in einem Smart Home können durch den Sprach­assistenten Lichter, Thermostate, Rolladen oder sogar Türen bedient werden, was signifikante Eingriffe in die Sicherheit darstellt. Ohne weitere vernetzte Geräte besteht die Möglichkeit, über Amazon Echo Produkte im Namen des Account­besitzers zu bestellen, die ein Angreifer dann abfangen könnte. Der Zugriff auf den Account und damit auf die Identität des Angegriffenen kann außerdem ausgenutzt werden, wenn Nachrichten wie E-Mails oder SMS im Namen des Opfers versandt werden. Auch verbundene Services wie Kalender, Einkauf­listen oder Taxi-­Dienste wie Uber können so böswillig missbraucht werden.

Angreifbarkeit der Smart-Home-Geräte kann eingeschränkt werden

Aufgrund der aktuell verbauten Hardware in Smart Home-Geräten kann ein unhörbarer Angriff mittels Dolphin-Attacke nicht verhindert werden. Jeder hat jedoch die Möglichkeit die Angreif­bar­keit der eigenen Sprach­assis­ten­ten allgemein ein­zuschrän­ken. Der sicherste und einfachste Weg ist es, das dauerhafte Lauschen der Smart Home-­Geräte und Smart­phones zu deaktivieren. Google Assis­tant lässt sich beispiels­weise mit einem Knopf aktivieren, was die Gefahr eines un­hör­baren Angriffs deutlich verringert. Es ist grundsätzlich zu empfehlen nur Funktionen über den Sprach­assis­ten­ten zu nutzen, die wirklich be­nötigt werden. Der Zu­griff auf Dienste im Zusam­men­hang mit Online-­Shopping oder Online-­Banking sollte zugunsten der In­for­ma­tions­sich­er­heit de­aktiviert werden.

Der Referent

Als Be­rater für Informations­sicher­heit ent­wickelt Maximilian Stauß Sicher­heits­konzepte nach Security­-by-­Design-­Prin­zipien mit dem Ziel, Unter­nehmen ein bes­seres Ver­ständ­nis über Be­drohun­gen und Schutz­maß­nahmen in der digi­talen Welt zu er­möglichen. Die Dolphin-Attacke konnte er bereits in seinem Studium am Karlsruher Institut für Technologie (KIT) implementieren.