Anzeige

Amazon-Alexa

Quelle: James W Copeland - Shutterstock.com

Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten.

«Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils», teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. «Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben – und werden unsere Systeme weiterhin stärken.» Amazon seien keine Fälle bekannt, «in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden».

Die Schwachstellen befanden sich nach den Angaben nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel («CSRF-Token») abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme («Skills») entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. «Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.»

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. «Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.» Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und «alarmierende Ergebnisse» erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

dpa


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Black Friday

Black Friday Sale 2020- Wichtige Informationen für Verbraucher

Der Black Friday Sale 2020 startet in wenigen Stunden. Wie auch in den letzten Jahren wird auch in diesem Jahr der Gesamtumsatz der Verkaufsveranstaltung zweistellig wachsen. Der deutsche Handelsverband prognostiziert etwa einen Umsatz von rund 3,7 Milliarden…
Weihnachten Cybersicherheit

Neues Toolkit für Cybersicherheit in der Weihnachtszeit

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, gibt bekannt, dass er ein vielseitiges Toolkit mit neuen Ressourcen für die Weihnachtszeit veröffentlicht hat.
Homeoffice

Corona-Maßnahmen: Gut jeder Zweite für Homeoffice-Pflicht

Eine Reduzierung der Kontakte im Büro hilft bei der Eindämmung des Infektionsgeschehens: Mehr als jeder zweite Berufstätige befürwortet für die Dauer der Pandemie eine Homeoffice-Pflicht.

Glasfaser-Direktanschlüsse: Vodafone ändert Strategie

Vodafone will sich beim Glasfaser-Ausbau in Deutschland künftig stärker auf die Aufrüstung der eigenen Kabel-Netze konzentrieren. Ein Firmensprecher bestätigte am Donnerstag einen entsprechenden Bericht der «Rheinischen Post».
Bitcoin

Bitcoin scheitert an Rekordhoch und bricht ein

Die Digitalwährung Bitcoin hat es nach mehreren Anläufen nicht geschafft, ihr drei Jahre altes Rekordhoch zu übertreffen. Am Donnerstag brach die älteste und bekannteste Kryptowährung sogar ein. Nachdem sie am Mittwoch noch bis zu rund 19 400 Dollar wert…

RKI veröffentlicht neue Version der Corona-Warn-App

Die offizielle Corona-Warn-App des Bundes steht in einer verbesserten Variante zum Herunterladen bereit. Am Mittwochnachmittag ist die aktuelle Version 1.7 im Google Play Store und dem App Store von Apple erschienen. Mit dem Update kann die Risikoüberprüfung…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!