Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

3 Min Lesezeit 35 Kommentare

Amazon Alexa feiert eine teure Party ohne Publikum

Schöne neue Welt: In Pinneberg bei Hamburg werden die Nachbarn unsanft aus dem Schlaf gerissen, weil mitten in der Nacht Musik in voller Lautstärke das Haus beschallt. Doch keine wilde Feier von Hausbewohnern war der Grund für die nächtliche Ruhestörung. Ein Echo-Lautsprecher mit Amazon Alexa hatte ganz alleine für die zweifelhafte Unterhaltung gesorgt.

Um 3 Uhr früh hatten die Nachbarn genug von der lauten Musik aus dem sechsten Stock und riefen die Polizei. Doch niemand öffnete. Also verschafften sich die Beamten gewaltsam Zutritt zur Wohnung von Oliver Haberstroh. Doch sie entdeckten keine rauschende Party, sondern nur leere Zimmer und einen Alexa-Lautsprecher, der seit 1:50 Uhr auf voller Lautstärke die Wohnung beschallte. Die Wohnungsbesitzer vergnügten sich derweil in den Clubs auf der Hamburger Reeperbahn. Alexa wurde abgeschaltet, die Wohnung wieder verschlossen. Die Überraschung für die Bewohner wartete dann in Form eines Schreibens der Polizei in den frühen Morgenstunden.

Warum Alexa die Musikwiedergabe gestartet hat, ist derweil unklar. Haberstroh gibt an, kein entsprechendes Kommando gegeben zu haben, auch nicht über Fernsteuerung mit einer Musik-App wie Spotify. War Alexa einfach langweilig geworden, oder lag eine Fehlfunktion vor? Hatte gar jemand anderes den Assistenten bedient? Man weiß es nicht.

So lustig die Geschichte zunächst einmal klingt, so ärgerlich ist sie auch, denn Alexas Hang zur Privatparty wird für Herrn Haberstroh richtig teuer: Es fallen Kosten für den Polizeieinsatz, das neue Türschloss und den Schlüsseldienst samt Nachtzuschlag an. Es ist zwar möglich, dass sich Amazon hier anhand der Tatsache, dass die Geschichte so große Wellen zieht, großzügig zeigt, doch das eigentliche Problem bleibt bestehen.

Sprachbedienung hat ihre Tücken

Die Bedienung von technischen Gerätschaften mit der Stimme hat enorme Vorteile: Sie ist natürlich, gelingt buchstäblich im Vorübergehen, macht Technik barrierefreier und sicherer – zumindest im Umgang, etwa beim Autofahren. Gleichzeitig leidet die Sicherheit gegen Fremdbedienung aber deutlich. Wer mein Smartphone bisher nicht in der Hand hatte, konnte es auch nicht bedienen. Mit Alexa, Google Now oder Siri sieht das anders aus. Es kommt nicht von ungefähr, dass der Amazon-Support bei Herrn Haberstroh nachfragte, ob vielleicht ein Fenster gekippt war und Alexa so von einer Person außerhalb der Wohnung angesprochen werden konnte.

Klar, was die feinen Alexa-Ohren aufschnappen, das befolgen sie auch. Ein bisschen Musik-Abspielen ist da noch vergleichsweise harmlos. Wie wäre es in einem voll vernetzten Haus denn mit dem Öffnen der Rolläden oder gar der Haustür? Es gab bereits Angriffe auf Sprachassistenten, bei denen mit Kommandos im für Menschen unhörbaren Frequenzbereich gearbeitet wurde. Die Bequemlichkeit fordert eben manchmal ihren Tribut.

Ähnliches, wenngleich harmloses Beispiel: Bei mir zuhause kommt es manchmal vor, dass die Fernsehwerbung für die Echo Lautsprecher meine Lampen umschaltet – in dem Spot fällt der Satz "Alexa, mache das Licht im Wohnzimmer blau." Mein Echo Dot hört zu und folgt dem Befehl. Ich bin nicht der Meinung, dass Sprachbedienung wegen Sicherheitsbedenken verteufelt werden sollte, im Gegenteil. Die Vorteile sind in vielen Bereichen nahezu unschlagbar. Doch eine gesunde Portion Skepsis sollte man bei solchen Dingen schon behalten, denn nicht alles, was leicht und unkompliziert ist, taugt für jeden Einsatzzweck.

Was meint Ihr, müssen Alexa, Google Now und Siri in Sachen Sicherheit noch zulegen? Welche konkreten Schritte könnten helfen, die Sprachbedienung weniger angreifbar zu machen?

35 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Tadaaa... nun ist die Lösung gefunden: Alexa war über Spotify vom Smartphone des Nutzers aus angesteuert worden. Von wegen "von allein" (Quelle: www.mobiflip.de/alexa-party-in-pinneberg-spotify-war-schuld/).

    Der Fall hat also mit der Sprachsteuerung von Alexa nichts zu tun. Aber Hauptsache hier wurde gleich wieder wild darüber spekuliert und fabuliert, der Fall zeige Risiken von Sprachsteuerung ;) (daraus folgt nun zwar nicht, dass Sprachsteuerung sicher sei, aber sie hat eben mit dem Fall überhaupt nichts zu tun und jener kann daher auch nicht als Vorlage für "seht her was für Sch*** diese Sprachsteuerung doch ist /ich habe immer schon gewusst wie unsicher diese Sprachsteuerung ist" herhalten)


  • ALEXA feiert eben gern. Nein, ernsthaft...
    Ich bin bis jetzt gut ohne ALEXA un Co ausgekommen. Obwohl ich mit dem Gedanken schon gespielt habe, mir so einen runden Alleinunterhalter ins Haus zu holen. Problem, wie man sieht... Der Alleinunterhalter oder viel mehr die Alleinunterhalterin macht manschmal Dinge ohne das man sie drum gebeten hat ;)

    Dafür hab ich meine liebe Ehefrau :D


  •   15
    Gelöschter Account 07.11.2017 Link zum Kommentar

    Ich lach mich weg.. XD
    Gerade wegen so einem Paradebeispiel, kommt mir ein Alexa oder ähnliches nicht ins Haus.
    Sicherlich wird der Zeitpunkt kommen, wo man an so was nicht vorbei kommen wird.

    Ein Alex(ander) reicht :P


  • Eine andere Nachrichtenquelle berichtete, dass Herr Haberstroh das Protokoll der aufgezeichneten Sprachkommandos (Alexa führt Buch über die erhaltenen/ausgeführten Sprachbefehle) eingesehen habe, und dort keinerlei Sprachkommando für den fraglichen Zeitraum vermerkt war:

    "Derzeit spricht alles für eine Fehlfunktion. Ich habe nochmal gezielt nachgehakt und Oliver, so heißt der betroffene Nutzer, gebeten, den Verlauf seiner Alexa-App zu prüfen. Schließlich listet Amazon dort alle erkannten Sprachbefehle auf und stellt sogar ein Soundfile des Befehls zur Verfügung. Doch zu besagter Zeit gab es einfach gar keinen Befehl in der App." (Quelle: MobiFlip, ich darf als angeblich "neues Mitglied" hier den Link nicht "anklickbar" reinposten :-O www.mobiflip.de/alexa-feiert-party/)

    Diese Information fehlt in dem Beitrag hier (vielleicht wusste die Redaktion davon nichts, die Formulierung bei mobiFlip liest sich, als hätte der dortige Autor eigene Recherche betrieben und selbst bei Herrn Haberstroh nachgefragt).


    Es wäre also durchaus denkbar, dass überhaupt kein Sprachkommando vorlag. Sondern das Gerät aus irgendeinem anderen Grund beschloss Musik spielen zu wollen.


    Daher Vorsicht mit voreiligen Schlussfolgerungen zu "Sprachsteuerung" - die Ursache hat mit jener vielleicht überhaupt nichts zu tun.


    • Sehe ich auch so... Prinzipiell müsste der Nutzer und erst recht Amazon sehr schnell in der Lage sein, festzustellen ob das Musikabspielen über einen Sprachbefehl ausgelöst wurde und sofern durch einen fremden ausgelöst wäre sogar ein identifizierbares Sprachprofil des Täters verfügbar.
      Ich glaube viel wahrscheinlicher ist, dass die Wiedergabe zum Beispiel über die Connectfunktion von Spotify ausgelöst wurde über das Handy mit nicht gesperrtem Display in der Hosentasche. Hab das heute mal spaßeshalber gemacht, funktioniert hervorragend.
      Ein "Hacker" hätte die chance diesen Effekt sowohl über einen gehackten Amazonaccount, als auch über einen gehackten Spotify Account zu erzeugen, je nach vorhandenen Komponenten ist zusätzlich / alternativ noch zugriff auf einen Logitech Harmony Hub Account, Osram Lightify und/oder Phillips Hue notwendig um einen entsprechenden verbundenen Verstärker einzuschalten.
      Genausogut könnte der Angreifer IFTTT oder Yonomi angegriffen haben oder das Handy in der Hosentasche entsprechende Aktion ausgelöst haben.
      Ich bin echt gespannt auf eine offizielle Stellungname von Amazon und bin mir fast sicher, dass es nicht die Alexa war.
      Prinzipiell fehlt den Handelsüblichen Sprachsteuerungen jedoch ein "relativ" einfaches und recht eindeutiges Sicherheitsfeature... Stimmerkennung... Wenn ich das recht in Erinnerung habe bietet das momentan nur Ok, Google und auch da noch sehr eingeschränkt.


  • Die Sicherheit solcher Geräte ist noch sehr lange nicht gut genug. Es sollte möglich gemacht werden dass man ein eigenes Startkommando geben kann. Dann heisst es nicht mehr "Alexa mach mal...", sondern man beginnt mit einem frei wählbaren Begriff/Namen. Zusätzlich wären Stimmenkommandos (alá Raumschiff Enterprise) eine weitere Sicherheitsstufe.


  • Ich habe Echos und Homes zu Hause. Ein Sicherheitsplus wäre es vielleicht die Dinger in der Ansteuerbarkeit von Peripherie etwas offener zu gestalten, so dass die Dinger nicht immer die Steuerbefehle (zB cloudbasierte Smarthomes) über die Cloud verschicken müssten. So könnte man auch Smarthomes selber dranstricken und das Smarthome als 2tes Paar Augen drüber schauen lassen, ob der Befehl der da von Alexa oder Home abgesetzt wird, auch Sinn macht und das sollte dann auch nur im eigenem Netz bleiben. Beispiel: "alexa, spiele energy hamburg" --> Befehl würde dann auch ans Smarthome gesendet und das Smarthome prüft den Zustand des Hauses (zB im Haus müssen die Präsenzmelder Bewegung erkannt haben) und gibt ein "ok" oder ein "nicht-ok" zurück und Alexa/Home führt den Befehl dann aus oder nicht... oder man verknüpft als Bedingung, dass bestimmte Handys im Netzwerk erreichbar sein müssen. ... Momentan sind die Systeme so zugeknöpft, dass es schwer ist, selber für mehr Sicherheit zu sorgen. Ja, die Mehrheit der Echo/Home-Besitzer hat ein Sicherheitsbewusstsein und verbindet dementsprechend auch keine smarten Türschlösser mit Alexa und co. Es werden dann nur Geräte miteinander verbunden, die keinen Schaden anrichten können, wenn sie mal Amok laufen....

    PS.: ein Dieb wäre schön blöd die Rollos hoch zu fahren, statt nur eines aus der Verankerung zu hebeln. Mit zugefahrenen Rollos kann man drinnen mit Licht "arbeiten". Falls jetzt der Einwand kommt "dann fährt er sie wieder runter, wenn er drinnen ist" --> spätestens wenn das Fenster ausgehebelt ist, der Fensterkontakt ein "offenes" Fenster meldet, werden die Rollos nicht mehr runter gefahren.... und wer es ganz sicher haben möchte, der lässt die Kamera Bilder machen, wenn der Öffnen-Befehl über Alexa und co erfolgt. ABER das alles geht nur mit sehr vielen Umwegen und das muss noch anders werden.


  • Was macht man den jetzt mit seiner Frau die Alexa heißt, kann man die an Amazon zurückgeben?🤔


  • Ich finde die Geschichte in der daliegenden Form unglaubhaft. Es ist von "ohrenbetäubend[er]" Lautstärke bzw. Musik die Rede. Der Amazon Echo hat einen 15W-Verstärker. Wenn man schon von "ohrenbetäubend" bzw. von Ruhestörung bei solch einem kleinen Resonanzkörper spricht, wie sie es auf mit einer 1,5kW-Anlage im Auto? Das wäre die 100-fache Leistung (ich weiß, Watt und Lautstärke steigen nicht im selben Maße) auf weniger Raum - oder soll das Adjektiv einfach nur reißerisch klingen? Auch tiefe Töne können physikalisch gesehen nicht von einem Echo so übertragen werden, dass sie einen Nachbarn stören würden. Oder sind die Wände in dem besagten Haus aus Papier?
    Kann es vielleicht sein, dass der Echo die Musik nicht über seinen eigenen Lautsprecher abgespielt hat, sondern über eine voll aufgedrehte Stereo-Anlage (bzw. AV-Receiver oder dergleichen)? Und wenn diese voll aufgedreht gewesen sei, wäre das ja schon Vorsatz des Betreibers des Echos. Des weiteren Frage ich, was denn nun der Trigger dafür gewesen sein soll, dass der Echo auf einmal Musik abspielt, obwohl doch angeblich niemand in der Wohnung gewesen sei.

    Zur Kernfrage des Artikels "Was meint Ihr, müssen Alexa, Google Now und Siri in Sachen Sicherheit noch zulegen? Welche konkreten Schritte könnten helfen, die Sprachbedienung weniger angreifbar zu machen?" Ganz einfach: nicht nutzen und wenn man bei jemandem zu Besuch ist, der solch ein Gerät (Echo) hat, rufen:"Alexa, bestell' eine Tonne Popcorn!". Keine Sorge, Bestellungen kann der Gerätebesitzer auch wieder stornieren ;-)


    • Ich habe einen 20 Watt Bluetooth Lautsprecher der erstaunlich viel Lärm machen kann. Wenn das Teil Nachts auf voller Lautstärke losplärren würde, wären die Nachbarn in einem normalen Haus problemlos wach. Du mußt ja überlegen, dass nachts keine weiteren lauteren Geräusche da sind. Dadurch wirkt das ganze viel lauter als tagsüber.


    • Alexa feiert in Ohrenbetäubender Lautstärke ist sehr wohl möglich. Die "große" Alexa muss dazu nur per Bluetooth mit einem Sonos oder einem Verstärker mit BlueTooth Empfänger verbunden sein. Die "kleine" Alexa hat einen "Vorverstärkerausgang" auf 2,5mm Klinkenstecker, angeschlossen an jeden beliebigen Verstärker, hast du jede beliebige Lautstärke, sofern der Verstärker an ist... Und da kommt auch schon "Fehler 1", wer lässt seinen Verstärker an, wenn er das Haus verlässt. (Ok, mit der richtigen Ausstattung ist Alexa auch in der Lage den Verstärker einzuschalten und die Lautstärke zu wählen).


  • <<Welche konkreten Schritte könnten helfen, die Sprachbedienung weniger angreifbar zu machen?>>

    Das ganze Ding in die Tonne hauen, seinen süßen Hintern bewegen und die Musik mit der Hand einschalten oder lauter machen....

    Problem mit der Angreifbarkeit gelöst 😁😁


    • Ist zwar grundsätzlich richtig, ließe sich aber letztendlich auf sämtliche digitalen Geräte ausweiten, mit denen es jemals Probleme gab. Hieße im Endeffekt ; Briefe wieder mit der Hand schreiben, Bankgeschäfte wieder am Schalter erledigen usw.
      Alexa ist doch auch nur ein weiteres Puzzleteilchen der digitalen Welt, von der man prinzipiell darüber reden könnte inwieweit man sich davon abhängig machen sollte oder eben auch nicht.
      Und, wer berichtet schon über all die Haushalte in denen Alexa völlig reibungslos seinen Dienst verrichtet?
      Ich schätze du nutzt doch auch weiterhin deinen PC, Tablet, Smartphone, obwohl es auch hier schon zu Problemen kam.


      • Ich sehe halt immer noch einen Unterschied zwischen.... ICH SELBER schreibe eine Mail, höre TuneIn, google nach dem Wetter

        Und DIE WANZE schreibt im Auftrag eine Mail, startet selber eine Radio App, frägt das Wetter in Süddeutschland ab.

        Das ist der Unterschied meiner Meinung


      • Gehört deine Stimme denn nicht dir selbst?
        Auch ne Fernbedienung macht doch nichts anderes, als "in deinem Auftrag" einen Befehl weiter zu geben. Ob das jetzt per Fingerdruck oder per Sprache stattfindet, ist doch erst einmal wurscht. Beides unterliegt doch deiner Kontrolle. Von mir aus können wir darüber reden auf welche Art und Weise diese Befehle letztlich generiert werden (Thema Sicherheit, Lauschen, usw) aber auch bei Alexa musst DU persönlich ja den Vorgang des Schreibens, Musik hörens, Um-und Anschaltens, etc. anstossen. (Die Geschichte aus diesem Artikel mal aussen vor gelassen). Das Ding arbeitet genauso wenig autark wie ne TV Fernbedienung.
        Ich finde übrigens den ganzen Artikel ein wenig unreflektiert. So als würde man darüber berichten, daß die Alarmanlage von nem Auto Nachts von selbst losgegangen ist. Was ja irgendwie auch des öfteren vorkommt. Technische Geräte können halt Fehlfunktionen haben. So what? Keine Ahnung warum das in diesem Fall berichtenswerter sein soll. Wahrscheinlich ist es grad einfach populär gegen diese Technik zu wettern, weil die im Moment die Meinungen spaltet. Ich persönlich finde es irgendwie seltsam das so eine Banalität z. B. auf der Titelseite der "Welt" erscheint.


  • Das bestätigt doch wieder, was ich als Gegner von dem ganzen schon vor Monaten gesagt habe.

    Was wäre jetzt mit... Alexa, Sperre bitte meine Türe auf.....
    ??

    Das war jedenfalls erst der Anfang, wir werden noch viele Späße mit Siri, Alexa, Kathi und Co haben 😁😁


    • Der Gag daran ist - das gab es ja schon (via Fefe): Da hatte jemand ein Smart Lock einer bestimmten Marke, welches bereits auf leichte Ähnlichkeiten der Stimme reagiert - gekoppelt mit iPhone / Siri. Damit konnte sich der Nachbar eines Benutzers wiederholt ins Haus lassen.

      D.h. ohne zusätzliche Authentifizierung, wie wir das ja bereits bei normaler manueller Eingabe haben, ist dem Dumb Home-Kasperltheater im wahrsten Sinne Tür und Tor geöffnet.
      Aber dieses "sich extra ausweisen müssen" würde auch automatisch den "Instant-Faktor" der ganzen Sache untergraben. Jedes Mal sowas von sich zu geben wie etwa: "Alexa, Schlüsselwort: Alea Iacta Sunt, bitte tue dieses und jenes ..." wird sicher keiner wollen. Ergo wird es diese "Schreckensmeldungen" bzgl. sich selbständig machender Geräte, Fehleingaben etc. noch lange lange geben .. bis endlich Vernunft einkehrt, oder die Leute den Kram wieder in die Tonne kloppen.

      cu, w0lf.

      Mia

Zeige alle Kommentare

Empfohlene Artikel