Amazon schließt gravierende Sicherheitslücken in Alexa

13.08.2020
Die smarten Alexa-Lautsprecher von Amazon sind populär, weil sie aufs Wort gehorchen und von vielen als nützlich und unterhaltsam angesehen werden. Alexa konnte aber auch ein Einfallstor für Angreifer sein. Experten fanden Schwachstellen, die inzwischen geschlossen sind.
Der Lautsprecher Amazon Echo - Alexa Voice Service steht auf der IFA. Foto: Britta Pedersen/dpa-Zentralbild/dpa
Der Lautsprecher Amazon Echo - Alexa Voice Service steht auf der IFA. Foto: Britta Pedersen/dpa-Zentralbild/dpa

San Carlos (dpa) - Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten.

«Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils», teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. «Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken.» Amazon seien keine Fälle bekannt, «in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden».

Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel («CSRF-Token») abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme («Skills») entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. «Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.»

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. «Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.» Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und «alarmierende Ergebnisse» erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

© dpa-infocom, dpa:200813-99-152410/2


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Apple hat die neue Apple Watch Series 6 vorgestellt. Foto: ---/Apple Inc./dpa Apple bündelt erstmals Abo-Dienste Üblicherweise gibt es von Apple im September neue iPhones - doch im Pandemie-Jahr 2020 dauert das einige Wochen länger. Der Konzern stellt aber schon einmal neue Computer-Uhren und iPads vor - und bündelt erstmals mehrere Abo-Dienste.
Neben Neuheiten der Unterhaltungselektronik zählen inzwischen auch Elektrostudien der Autobauer zu den Highlights der CES. Foto: Gene Blevins/ZUMA/dpa CES: Technik-Festival in der Wüste mit Autos und Fernsehern Selbstfahrende Autos, Riesen-Fernseher und alle möglichen Gadgets: Die CES in Las Vegas ist ein Schaufenster für viele Technologien, die mit der Vernetzung zusammenwachsen und immer häufiger mit künstlicher Intelligenz gesteuert werden.
Auf der Elektromesse CES treten die Sprachassistenten der großen Techkonzerne gegeneinander an. Foto: Christoph Dernbach/dpa Amazons Alexa gegen Google Assistant auf der CES Alexa, Google Assistant, Siri: Die Sprachassistenten großer Techkonzerne wetteifern um die Gunst der Nutzer. Auf der Elektronikmesse CES ist vor allem Amazons Alexa erneut nahezu allgegenwärtig. Google hält aber voll dagegen.
Besucher spielen Farpoint mit der Sony PlayStation VR auf der Electronic Entertainment Expo (E3) in Los Angeles. Foto: Mike Nelson/epa/dpa Wie aus einem Streit ein Welterfolg wurde Dass es die Playstation von Sony überhaupt gibt, ist einer kuriosen Wendungen in der Geschichte der Spielebranche zu verdanken. Aus dem Plan für ein Laufwerk wurde eine der erfolgreichsten Konsolen der Welt. Aber neigt sich die Konsolen-Ära nun dem Ende zu?