Sicherheit

Amazon schließt gravierende Sicherheitslücken in Alexa

Der Lautsprecher Amazon Echo - Alexa Voice Service steht auf der IFA. Foto: Britta Pedersen/dpa-Zentralbild/dpa
+
Der Lautsprecher Amazon Echo - Alexa Voice Service steht auf der IFA. Foto: Britta Pedersen/dpa-Zentralbild/dpa

Die smarten Alexa-Lautsprecher von Amazon sind populär, weil sie aufs Wort gehorchen und von vielen als nützlich und unterhaltsam angesehen werden. Alexa konnte aber auch ein Einfallstor für Angreifer sein. Experten fanden Schwachstellen, die inzwischen geschlossen sind.

San Carlos (dpa) - Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten.

"Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils", teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. "Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken." Amazon seien keine Fälle bekannt, "in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden".

Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel ("CSRF-Token") abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme ("Skills") entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. "Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein."

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten." Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und "alarmierende Ergebnisse" erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

© dpa-infocom, dpa:200813-99-152410/2

Das könnte Sie auch interessieren

Meistgelesene Artikel

So schützen Sie sich vor falschem Microsoft-Support

Per Telefon versuchen angebliche Mitarbeiter des technischen Supports von Microsoft, Zugriff auf fremde Computer zu erlangen. Am besten sofort auflegen, raten …
So schützen Sie sich vor falschem Microsoft-Support

Was ohne Flash aus "Farmville" wird

Die Hochzeit der sogenannten Socialgames liegt schon fast ein Jahrzehnt zurück. Trotzdem werden viele dieser Spiele immer noch gespielt, etwa "Farmville" bei Facebook. …
Was ohne Flash aus "Farmville" wird

Series 6: Die Apple Watch will immer höher hinaus

Apple geht gleich mit zwei neuen Watch-Modellen an den Start - der Series 6 und der günstigeren Watch SE. Können sich die Uhren im Alltag gegen das Vorgängermodell …
Series 6: Die Apple Watch will immer höher hinaus

"DeepL" macht Google Translate Konkurrenz

Text zu übersetzen? Da greifen viele erstmal zum Google-Übersetzer. Doch ein Kölner Start-up macht dem Tech-Giganten Konkurrenz. Mit einem Online-Übersetzer, der auf …
"DeepL" macht Google Translate Konkurrenz

Kommentare

Hinweise für das Kommentieren

Von Mo. bis Fr. in der Zeit von 18 bis 9 Uhr und am Wochenende werden keine neuen Kommentare freigeschaltet.
Bitte bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht.