Amazon schließt Sicherheitslücken bei digitalem Assistenten Alexa

Die smarten Lautsprecher von Amazon sind populär. Das integrierte Sprachassistenzsystem Alexa konnte aber auch ein Einfallstor für Angreifer sein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 16 Beiträge

Lautsprecher Amazon Echo mit der digitalen Assistentin Alexa

Von
  • Jürgen Kuri

Sicherheitsforscher haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere Sicherheitslücken entdeckt, die Angriffe ermöglicht hätten. "Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils", teilte das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. "Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken", erklärte Amazon laut dpa. Es seien keine Fälle bekannt, "in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden".

Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den vernetzten Lautsprechern selbst, sondern in der Online-Infrastruktur für den digitalen Assistenten von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel (CSRF-Token) abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Lesen Sie auch

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Skills entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen einzusehen. "Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein."

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten."

(jk)