14.08.2020 05:59 |

Amazon-Assistentin

Gravierende Sicherheitslücken in Alexa entdeckt

Mitarbeiter des israelischen Sicherheitsanbieters Check Point haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt. „Mit nur einem falschen Klick drohte der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils“, teilte das Unternehmen am Donnerstag mit. Anwender hätten außerdem über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. „Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken.“ Amazon seien keine Fälle bekannt, „in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden“.

Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mittels sogenanntem Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel („CSRF-Token“) abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Verschiedene Angriffsszenarien
Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme („Skills“) entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. „Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.“

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. „Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten.“ Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und „alarmierende Ergebnisse“ erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

 krone.at
krone.at
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Samstag, 26. September 2020
Wetter Symbol
Ihre Cookies sind deaktiviert. Die Seite wird daher möglicherweise nicht korrekt angezeigt.