Anzeige

Amazon-Alexa

Quelle: James W Copeland - Shutterstock.com

Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten.

«Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils», teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. «Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben – und werden unsere Systeme weiterhin stärken.» Amazon seien keine Fälle bekannt, «in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden».

Die Schwachstellen befanden sich nach den Angaben nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel («CSRF-Token») abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme («Skills») entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. «Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.»

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. «Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.» Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und «alarmierende Ergebnisse» erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

dpa


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Handschlag

CrowdStrike gibt Übernahme von Preempt Security bekannt

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab die Übernahme von Preempt Security bekannt, einem Anbieter von Zero Trust- und Conditional Access-Technologie für Echtzeit-Zugriffskontrolle und Bedrohungsabwehr. Laut Vereinbarung wird…
TikTok

Tiktok will einstweilige Verfügung gegen Download-Stopp in den USA

Die Betreiber der Video-App Tiktok wollen ungeachtet der Gespräche über einen rettenden Deal den immer noch drohenden Download-Stopp in den USA rasch vor Gericht stoppen. Tiktok beantragte am Mittwoch an einem Gericht in Washington eine einstweilige Verfügung.
Nachrichten Online

US-Regierung legt Gesetz zu Regeln für Online-Plattformen vor

Die US-Regierung hat einen Gesetzentwurf vorgelegt, der den Handlungsspielraum von Online-Diensten beim Umgang mit Inhalten auf ihren Plattformen einschränken soll. Speziell nimmt das Justizministerium dabei eine gesetzliche Regelung aus den 1990er Jahren ins…
Krypto-Währung

Bitkom: EU könnte mit Krypto-Ideen weltweiter Vorreiter sein

Die Ideen der EU-Kommission zur Regulierung von Kryptowährungen bieten nach Ansicht des Digitalverbands Bitkom gute Chancen für Werte wie Bitcoin. Diese könnten mithilfe des Entwurfs der Brüsseler Behörde deutlich an Fahrt gewinnen, teilte der Verband mit.
Samsung

Samsung tritt mit eigenem Bezahldienst gegen Google Pay an

Samsung steigt in Deutschland in das boomende Geschäft mit kontaktlosem Bezahlen ein. Der Service mit dem Namen Samsung Pay werde am 28. Oktober hierzulande starten, kündigte der südkoreanische Konzern am Donnerstag an. Dabei kooperiert der…
Online-Banking

Generation Z: 90 Prozent wollen Fintech-Konto

In den USA würden neun von zehn Mitglieder der jungen Generation Z bei einem Fintech-Unternehmen ein Konto eröffnen oder bei einer großen Tech-Firma wie Amazon Banking betreiben. Für Menschen im Alter zwischen 13 und 24 Jahren macht vor allem die bessere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!