Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
ARCHIVBILD ZUR MELDUNG DER INFORMATIONSSICHERUNGSSTELLE MELANI, DASS RUND 70'000 ZUGANGSDATEN ZU INTERNETDIENSTEN GESTOHLEN WURDEN, AM DIENSTAG, 5. DEZEMBER 2017 - A man types command lines into his laptop, pictured on November 26, 2009, posed picture. (KEYSTONE/Gaetan Bally)

Ein Mann tippt Befehlszeilen in seinen Laptop, aufgenommen am 26. November 2009, gestellte Aufnahme. (KEYSTONE/Gaetan Bally)

Hacker können Sprachassistenten manipulieren.  Bild: KEYSTONE

Smarte Lautsprecher: Was Hacker-Attacken auf Sprachassistenten so gefährlich macht

Sprachassistenten reagieren auch auf unhörbare Signale. Hacker können sie so unbemerkt manipulieren. 

Adrian Lobe / Schweiz am Wochenende



Im Januar 2017 kam es in den USA zu einem denkwürdigen Vorfall. Ein Nachrichtensprecher erteilte in einer Live-Sendung dem vernetzten Lautsprecher «Amazon Echo» den Sprachbefehl, ein Puppenhaus zu bestellen.

Eigentlich berichtete der Sprecher von einem kleinen Mädchen, das versehentlich ein Puppenhaus und Kekse bestellte. Er konnte nicht ahnen, welche Kettenreaktion er damit in Gang setzte.

Bei Hunderten Zuschauern, die die Sendung live im Fernseher ihres Wohnzimmers verfolgt hatten, aktivierte sich wie von Zauberhand der Lautsprecher, interpretierte die Meldung als Sprachbefehl und löste einen Bestellvorgang aus, der nur deshalb nicht finalisiert wurde, weil Amazon einen gesprochenen Bestätigungscode als Autorisierungselement zwischengeschaltet hat.

Smarte Lautsprecher hören mehr als das menschliche Ohr

Dass Netzwerklautsprecher ständig lauschen und nicht weghören können, ist ein bekanntes Problem. Amazon hat unlängst ein Patent auf einen Algorithmus angemeldet, der in Echtzeit Audiodateien auf Schlüsselwörter wie «lieben», «gekauft» oder «gefällt mir nicht» analysiert und daraus Präferenzen ableitet. Doch smarte Lautsprecher hören auch Geräusche in Frequenzen, die für das menschliche Ohr gar nicht wahrnehmbar sind.

Die US-Computerwissenschafter Nicholas Carlini und David Wagner von der University of Berkeley in Kalifornien beschreiben in einer aktuellen Studie, wie man Sprachassistenten Siri, Alexa und Google Assistant mit geheimen Sprachkommandos überlisten kann. Durch Hinzufügen einer nicht hörbaren Störfrequenz soll es möglich sein, den Inhalt eines Sprachbefehls zu manipulieren und so eine Attacke auf Netzwerklautsprecher zu lancieren.

Dazu muss man wissen, wie automatisierte Spracherkennung funktioniert: Ein Sprachkommando ist zunächst eine Audiodatei, die von Computern sequenziert und transkribiert, das heisst in Textform umgewandelt wird. Je mehr Trainingsdaten der maschinell lernende Algorithmus bekommt, desto präziser wird die maschinelle Übersetzung.

Das neuronale Netz arbeitet jedoch streng nach Schema F. Wird die Sprachdatei durch den Einbau eines synthetischen Signals nur minimal verzerrt, laufen die Dekodierregeln ins Leere. Die Maschine übersetzt dann etwas völlig anderes, als mit der Original-Sprachbotschaft intendiert war. Durch die subtile Manipulation der Audiodatei gelang es den Wissenschaftern, den originären Inhalt wie in einem Texteditor zu überschreiben beziehungsweise zu verbergen, ohne dass dies für das menschliche Ohr erkennbar war.

Maschinen interpretieren Geräusche anders

Auf ihrer Website präsentieren die Wissenschafter zwei dreisekündige Hörproben, die auch nach dem dritten und vierten Anhören identisch klingen. Eine männliche Stimme sagt darauf: «Ohne den Datensatz ist der Artikel nutzlos.» Der Satz scheint eindeutig. Doch die Maschinen interpretieren die eine Hörprobe völlig anderes als die andere.

In der ersten Transkriptionsvariante bleibt die Bedeutung erhalten, in der zweiten wird daraus der subversive Befehl: «Okay Google, browse auf evil.com» (eine Anspielung an Googles alten Wahlspruch «Don’t be evil»). Mithilfe eines Algorithmus konnte dieselbe Botschaft auch in Verdis Requiem geschmuggelt werden.

Die Störung bewegt sich einem Lautstärkebereich von minus 30 Dezibel. Zum Vergleich: Am stillsten Ort der Welt, einem Tonstudio in Minnesota, wurde eine Lautstärke von minus 9 Dezibel gemessen. Die übereinandergelegten Wellen der originalen und manipulierten Audiodatei unterscheiden sich kaum. Die Computerwissenschafter geben an, dass sich durch die Methode bis zu fünfzig Buchstaben pro Sekunde umcodieren lassen.

Angriffe auf Smart Homes

Die Studie führt ein ungeahntes Manipulations- und Missbrauchspotenzial vor Augen – und eine neue akustische Gefahr. Hacker könnten in Musikdateien oder Youtube-Videos versteckte Sprachkommandos einschleusen, die unerwünschte Prozesse in Gang setzen – zum Beispiel, dass sich die Rollläden wie von Geisterhand abdunkeln oder die Heizung sich im Hochsommer auf 30 Grad Celsius hochdreht.

Sicherheitsforscher haben Angriffe auf Smart Homes bereits mittels schädlicher Computerprogramme, sogenannter Ransomware, demonstriert. Bei einer akustischen Attacke bildet aber nicht ungesicherte Ports oder Netze das Eingangstor, sondern der scheinbar harmlose Konsum von Unterhaltungsmedien. Das macht die Sache so gefährlich.

Laut der Marktforschungsgesellschaft Forrester werden bis 2022 allein in den USA 244 Millionen Smart-Home-Geräte in Betrieb sein. Die Methode der kalifornischen Forscher ist nicht die einzige, mit der diese Apparate manipuliert werden können.

Sicherheitsforscher der University of Illinois at Urbana-Champaign haben gezeigt, dass smarte Lautsprecher aus rund acht Metern Distanz durch unhörbare Befehle im Ultraschallbereich fremdgesteuert werden können – zwar nicht durch die Mauern, aber durch offene Fenster, die somit zur Sicherheitslücke werden. Während man seelenruhig Musik hört, könnte es sein, dass der Sprachassistent das digitale Türschloss entriegelt. Die Gefahr kommt auf ultraleisen Sohlen daher. 

Blochers erste Begegnung mit Siri

Video: watson

Das könnte dich auch interessieren:

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Trump schürt weiter Zweifel an Machtübergabe

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

6
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
6Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Francis Begbie 20.05.2018 14:49
    Highlight Highlight Danke für das Ändern des Titels!
  • Hillbilly 20.05.2018 12:57
    Highlight Highlight Ich versteh ja wirklich nichts von dem diesem Zeugs. Aber könnte man Siri und Co. nicht einfach darauf programmieren, nur Befehle im hörbaren Bereich der Dezibel-Bandbreite zu befolgen?
  • Onkel Jenny 20.05.2018 11:51
    Highlight Highlight Ein Grund mehr, warum diese Systeme niemals in meine Wohnung einziehen werden.
    • Ueli der Knecht 20.05.2018 13:32
      Highlight Highlight Das ist diesen Systemen doch völlig egal, solange du Siri oder Google Assistant und ihre Gspänlis auf deinem Smartphone in deiner Hosentasche mit dir rumträgst.
    • Onkel Jenny 20.05.2018 22:50
      Highlight Highlight Ich unterhalte mich lieber mit realen Menschen als mit Siri.
      Benutzer Bild
  • I don't give a fuck 20.05.2018 11:33
    Highlight Highlight Geil!