Anzeige

Amazon-Alexa

Quelle: James W Copeland - Shutterstock.com

Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten.

«Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils», teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. «Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben – und werden unsere Systeme weiterhin stärken.» Amazon seien keine Fälle bekannt, «in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden».

Die Schwachstellen befanden sich nach den Angaben nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel («CSRF-Token») abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme («Skills») entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. «Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.»

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. «Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.» Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und «alarmierende Ergebnisse» erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

dpa


Weitere Artikel

Handschlag

Jamf beabsichtigt Übernahme des Cloud-Security-Anbieters Wandera

Jamf, die Standardlösung für Apple Enterprise Management, will mit Wandera einen Anbieter von Unified Cloud Security für mobile Geräte übernehmen.
Klimaschutz

Bitkom zur Novelle des Bundes-Klimaschutzgesetzes

Das Bundeskabinett hat an diesem Mittwoch den Entwurf für das neue Klimaschutzgesetz beschlossen. Dazu erklärt Bitkom-Präsident Achim Berg:
Amazon

Amazon: EU-Gericht urteilt zu strittigen Steuervergünstigungen

Update 12.05.21, 12:23 Der Online-Händler Amazon hat nach einem Urteil des EU-Gerichts nicht von unerlaubten Steuervorteilen in Luxemburg profitiert.
Hacker

Hackerangriff auf Radiosenderkette Energy

Die private Radiosenderkette Energy ist Opfer eines Hackerangriffs geworden. Seit Dienstagabend kann deshalb das lokale Radioprogramm Energy Hamburg nicht ausgestrahlt werden, wie ein Sprecher der Radio NRJ GmbH mit Hauptsitz in Berlin am Mittwoch sagte.
Wirtschaftswachstum

CEOs rechnen in den nächsten zwei Jahren überwiegend mit Wirtschaftsboom

Laut einer aktuellen Studie des Research- und Beratungsunternehmens Gartner erwarten 60 % der CEOs und leitenden Angestellten in den Jahren 2021 und 2022 einen Wirtschaftsboom, 40 % eine Stagnation.
Cybercrime

7,9 Prozent mehr Cybercrime-Delikte im Jahr 2020

Das Bundeskriminalamt (BKA) hat 2020 7,9 Prozent mehr Fälle von Internetkriminalität registriert als im Vorjahr.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.