| 15:17 Uhr

Digitale Sprachassistenten
Geheime Befehle für Alexa und Siri

Digitale Sprachassistenten können nicht nur Informationen aus dem Internet heraussuchen und vorlesen, sondern auch Geräte-Funktionen steuern. Durch manipulierte Sprachbefehle könnten Angreifer so beispielsweise Zugriff auf die Smartphone-Kamera erhalten.
Digitale Sprachassistenten können nicht nur Informationen aus dem Internet heraussuchen und vorlesen, sondern auch Geräte-Funktionen steuern. Durch manipulierte Sprachbefehle könnten Angreifer so beispielsweise Zugriff auf die Smartphone-Kamera erhalten. FOTO: dpa-tmn / Andrea Warnecke
Berkeley. Digitale Sprachassistenten können durch Signale, die für das menschliche Ohr nicht verständlich sind, manipuliert werden. Von David Seel

Sie heißen Alexa, Siri, Cortana oder Google Now und sollen sämtliche Fragen ihrer Nutzer beantworten: Sogenannte intelligente Sprachassistenten sind mittlerweile fester Bestandteil aller aktuellen Smartphones und Tablets. Immer wieder geraten sie aber auch in die Kritik von Datenschützern, etwa, weil sie ihre Umgebung permanent abhören können. Forscher aus Kalifornien haben nun herausgefunden, dass die Assistenten auch durch versteckte Sprachbefehle manipuliert werden können, die beispielsweise im Hintergrund von Videos oder Musik abgespielt werden.


Digitale Sprachassistenten verstehen gesprochene Worte, wandeln diese in Suchanfragen um und geben eine Antwort oder zeigen die gewünschte Webseite an. Außerdem lassen sich Smartphone-Funktionen wie Anrufe oder Kamerazugriffe direkt über die Assistenten ansteuern. Lautsprecherboxen wie Echo von Amazon oder Googles Home gehen noch einen Schritt weiter. In diesen Geräten sind die Sprachassistenten integriert. Sie sollen in der Wohnung stehen, um jederzeit Anfragen des Nutzers zu bearbeiten, und damit im Mittelpunkt sogenannter Smart Homes stehen. Das sind Haushalte, in denen alle Geräte untereinander vernetzt sind und sich zentral über den Assistenten steuern lassen.



Datenschützern sind die digitalen Helfer ein Dorn im Auge. So hat Andrea Voßhoff, die Bundesbeauftragte für Datenschutz, darauf hingewiesen, dass die Geräte ihre Umgebung potenziell permanent belauschen könnten. Auch sei nicht ersichtlich, wer letztlich Zugriff auf die so gesammelten Daten bekomme. Die Nutzer sollten sorgsam abwägen, ob die Vorteile eines digitalen Assistenten die mögliche Rund-um-die-Uhr-Überwachung rechtfertigen, sagt Voßhoff.

Eine Forschergruppe an der kalifornischen Berkeley-Universität hat nun eine Methode entdeckt, mit der sich die digitalen Assistenten missbrauchen lassen. Die Wissenschaftler haben ein Programm entwickelt, das akustische Signale einsetzt, die von Menschen nicht verstanden werden, von digitalen Assistenten allerdings schon. Das Programm könne auch sogenannte Sprache-zu-Text-Systeme manipulieren. Diese werden beispielsweise von bewegungseingeschränkten oder sehbehinderten Menschen genutzt, um Smartphones oder Computer zu bedienen. Den Forschern zufolge soll ihr Programm in der Lage sein, bis zu 50 Buchstaben pro Sekunde zu sprechen. Für das menschliche Ohr sei das viel zu schnell, es höre allenfalls ein Rauschen im Hintergrund.

Mit der Software konnten die Wissenschaftler bereits ein Smartphone in den Flugmodus versetzen oder eine bestimmte Webseite aufrufen. Das sind nur harmlose Angriffsszenarien, mit denen die Wissenschaftler auf die Möglichkeiten der Technologie hinweisen wollen. In einem Smart Home ließen sich aber sämtliche Funktionen des Hauses per Sprachbefehl fernsteuern. Auf Smartphones und Tablets könnten etwa kostenpflichtige Dienste so bestellt werden.

Auf ihrer Webseite haben die Forscher beispielhaft einige der Audiospuren zur Verfügung gestellt, mit denen sich digitale Assistenten manipulieren lassen. So wird der Satz „Without the dataset, the article is useless“ („Ohne den Datensatz ist der Artikel nutzlos“) vom Google Assistant als „Browse to evil.com“ („Navigiere zur Seite evil.com“) interpretiert. Weitere Botschaften seien in klassischer Musik versteckt worden.

Da das Programm Funktionen ausnutzt, die zum Betrieb der digitalen Assistenten nötig sind, können Nutzer den Wissenschaftlern zufolge momentan nicht viel tun. „Uns ist keine Möglichkeit bekannt, die vor den manipulierten Sprachbefehlen schützen könnte“, sagt Nicholas Carlini, einer der führenden Köpfe hinter dem Projekt. Bis die Hersteller der Geräte entsprechende Updates zur Verfügung gestellt hätten, helfe daher nur, auf digitale Assistenten zu verzichten.

www.nicholas.carlini.com/code/audio_adversarial_examples