Amazon Alexa: Gravierende Sicherheitslücken entdeckt
Alexas Erkennungssignal ist der blau-weiße Ring
Bild: picture alliance/Britta Pedersen/dpa-Zentralbild/dpa
Sicherheitsforscher aus Kalifornien haben im
Sprachassistenzsystem Alexa von Amazon und den dazugehörigen
vernetzten Lautsprechern mehrere gravierende Sicherheitslücken
entdeckt, die Hacker-Angriffe ermöglicht hätten.
"Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils", teilte heute das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.
Amazon: Fehler seien inzwischen behoben
Alexas Erkennungssignal ist der blau-weiße Ring
Bild: picture alliance/Britta Pedersen/dpa-Zentralbild/dpa
Ein Amazon-Sprecher bestätigte die Angaben von Check Point und
betonte, dass die Fehler inzwischen behoben seien. "Wir schätzen die
Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle
Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend
behoben, nachdem wir davon erfahren haben - und werden unsere Systeme
weiterhin stärken." Amazon seien keine Fälle bekannt, "in denen diese
Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder
Kundeninformationen offengelegt wurden".
Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel ("CSRF-Token") abzufangen und damit Aktionen im Namen des Opfers auszuführen.
Forscher: Ein einziger Klick hätte genügt
Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme ("Skills") entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen.
"Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein."
Tiktok, WhatsApp und Fortnite auch in Gefahr?
Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten."
Ähnliche Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und "alarmierende Ergebnisse" erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.
Forscher der Uni Bochum konnten, wenn auch aufwendig, 4G-Telefonate über VoLTE entschlüssen. Schuld war ein wiederverwendeter Sicherheitsschlüsel. Mehr dazu lesen Sie in einer weiteren News.