Sicherheit für Smart Speaker

Smart Speaker lassen sich über Sprachbefehle steuern und sind sehr populär. Allerdings müssen diese Geräte die ganze Zeit per Mikrofon mithören, ob sie angesprochen werden. Wie kann man sicher sein, dass die Geräte wirklich nur das machen, was sie sollen, und nicht vielleicht gehackt wurden und den Nutzer bespitzeln?

Eine Technik um die Integrität eines anderen Gerätes festzustellen ist "Remote Attestation". Mit Remote-Attestation-Techniken kann ein Gerät prüfen, ob ein anderes Gerät in Ordnung ist. Die Arbeitsgruppe für Systemsicherheit hat in Zusammenarbeit mit Forschern der TU Darmstadt im Rahmen des DFG Sonderforschungsbereichs CROSSING unter dem Titel "SCAtt-man" eine Methode entwickelt, wie Benutzer mit ihrem Smartphone Smart Speaker attestieren und so feststellen können, ob die Software auf dem Gerät unverändert ist oder ob Viren oder andere Malware installiert wurden. In einer Benutzerstudie wurde festgestellt, dass der Prototyp eine hohe Benutzerfreundlichkeit aufweist. Außerdem gaben die Probanden an, dass dieses Verfahren ihr Vertrauen in Smart Speaker erhöht und sie es verwenden würden, falls dieses Verfahren in ihrem Smart Speaker integriert würde.

Dieses Projekt wird im April auf der ACM Conference on Data and Application Security and Privacy (CODASPY) in Charlotte (NC) in den Vereinigsten Staaten vorgestellt werden.

Publikation:

Surminski, Sebastian; Niesler, Christian; Linsner, Sebastian; Davi, Lucas; Reuter, Christian: SCAtt-man: Side-Channel-Based Remote Attestation for Embedded Devices that Users Understand. In: Proc. of the 13th ACM Conference on Data and Application Security and Privacy (CODASPY). ACM, Charlotte, NC, United States 2023.

From the perspective of end-users, IoT devices behave like a black box: As long as they work as intended, the user will not detect any compromise. The user has minimal control over the software. Hence, it is very likely that the user misses that illegal recordings and transmissions occur if a security camera or a smart speaker is hacked. In this paper, we present SCAtt-man, the first remote attestation scheme that is specifically designed with the user in mind. SCAtt-man deploys software-based attestation to check the integrity of remote devices, allowing users to verify the integrity of IoT devices with their smartphone. The key novelty of SCAtt-man resides in the utilization of user-observable side-channels such as light or sound in the attestation protocol. Our proof-of-concept implementation targets a smart speaker and an attestation protocol that is based on a data-over-sound protocol. Our evaluation demonstrates the effectiveness of SCAtt-man against a variety of attacks and its usability based on a comprehensive user study with 20 participants.