Anzeige

Amazon

Quelle: Zapp2Photo / Shutterstock.com

ESET-Forscher haben Sicherheitslücken in Amazon Echo und dem ebook-reader Kindle gefunden. Beide Geräte waren durch die Ausnutzung der bereits bekannten Schwachstelle KRACK (Key Reinstallation Attack) kompromittierbar.

Über dieses Einfallstor können Angreifer alle vom Opfer übermittelten Informationen wie Passwörter entschlüsseln, Datenpakete fälschen, manipulieren oder abzulehnen. Die identifizierten Schwachstellen haben die ESET-Forscher bereits an Amazon gemeldet und wurden durch den Online-Riesen per automatischem Update bereits geschlossen.

Bei den Smart Speakern mit dem integriertem Sprachassistenten "Alexa" ist Amazon Echo laut dem Marktforschungsunternehmen Canalys mit einem Marktanteil von fast 32 Prozent führend. Ihre Ergebnisse haben die Experten nun auf WeLiveSecurity veröffentlicht.

"In den letzten Jahren sind Millionen Haushalte smarter geworden und mit dem Internet verbunden. Obwohl das Thema IT-Security bei einigen Herstellern in der Entwicklung eine große Rolle spielt, erweist sich die Hardwaresicherheit auch später als verwundbar", erklärt ESET-Forscher Milos Cermak. "Im aktuellen Fall haben wir bei den Amazon-Geräten mehrere Fehler identifiziert, die aufgrund der Verkaufszahlen ein weitreichendes Sicherheitsrisiko darstellen könnten."

Welche Geräte sind genau betroffen?

Die Echo-Geräte der ersten Generation und die Kindle-Reader der achten Generation sind anfällig für zwei Krack-Sicherheitslücken. Über diese Schwachstellen können sensible Daten gestohlen und die Kommunikation mit den Geräten manipuliert sowie abgehört werden. Ein erfolgreicher Angriff mit Krack muss, wie alle anderen Attacken auf Wi-Fi-Netze auch, in unmittelbarer Nähe stattfinden. Die Schwachstellen sind von Amazon mittlerweile auch per Update geschlossen worden.

Über Krack

2017 fanden die beiden belgischen Forscher Mathy Vanhoef und Frank Piessens schwerwiegende Einfallstore im WPA2-Standard, einem Protokoll, das zu dieser Zeit nahezu alle modernen Wi-Fi-Netze sicherte. Die Schwachstelle wurde Krack getauft, als Abkürzung für Key Reinstallation Attack. Diese Angriffe richteten sich vor allem gegen den sogenannten Handshake - ein Mechanismus, der für zwei Zwecke genutzt wird: die Bestätigung, dass sowohl der Client als auch der Access Point über die richtigen Zugangsdaten verfügen, und die Aushandlung des Schlüssels, der für die Verschlüsselung des Datenverkehrs verwendet wird. Auch heute, zwei Jahre später, sind viele Wi-Fi-Geräte noch anfällig für diese Art der Angriffe.

Weitere Informationen:

Die Analyse sowie weitere Information gibt es auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/10/17/krack-sicherheitsluecke-alexa/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Smart-Home

Handwerk profitiert vom Smart-Home-Boom

Das Smart Home wird in Deutschland beliebter: Schon 37 Prozent der Verbraucher haben in ihren eigenen vier Wänden mindestens eine Smart-Home-Lösung installiert – das entspricht 26 Millionen Bundesbürgern ab 16 Jahren. Besonders häufig sind intelligente…
Handschlag

Wolfgang Braunmiller wird Geschäftsführer valantic people

Wolfgang Braunmiller (52) ist mit Wirkung zum 1. September 2020 Teil der Geschäftsführung von valantic und verantwortlich für das Competence Center valantic people mit Fokus auf SAP Human Capital Management (HCM). Als Chief Operational Officer (COO) will der…
McAfee

IT-Sicherheitsfirma McAfee will zurück an die Börse

Die traditionsreiche IT-Sicherheitsfirma McAfee will nach über zehn Jahren eigenständig an die Börse zurück. Das Unternehmen beantragte am Montag (Ortszeit) eine Aktiennotiz unter dem Tickerkürzel «MCFE» an der New Yorker Nasdaq. Zum Zeitplan und zum Volumen…
Amazon

Insiderhandel: Ex-Amazon-Managerin und Familienmitglieder angeklagt

Die US-Börsenaufsicht SEC hat eine ehemalige Finanzmanagerin des Internetriesen Amazon und zwei Familienmitglieder wegen Insiderhandels angeklagt. Die Beschuldigten hätten zwischen Januar 2016 und Juli 2018 gemeinsam mehr als 1,4 Millionen Dollar (1,2 Mio…
Microsoft Cloud

Cloud-Störung bei Microsoft

Der Software-Riese Microsoft hat in der Nacht zum Dienstag mit einer Störung bei seinen Cloud-Diensten zu kämpfen gehabt. Unter anderem waren die Online-Versionen seiner Office-Programme im Dienst nicht erreichbar, wie der Konzern auf einer Statusseite…
fortnite

Richterin erwartet Prozess in «Fortnite»-Streit im Juli 2021

Im Streit zwischen den Machern des populären Smartphone-Spiels «Fortnite» stellt sich die zuständige Richterin auf einen Prozess im Juli 2021 ein. Sie halte es für angemessen, die Entscheidung Geschworenen zu überlassen, sagte Richterin Yvonne Gonzalez Rogers…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!