Mel
Die Lautsprecher von Amazon mit integrierter Sprachassistentin Alexa sind praktisch: Sie gehorchen aufs Wort und erledigen viele Alltagsaktionen, wenn man einmal keine Hand frei hat. Allerdings sind sie auch potentiell Gefahren durch externe Angreifer ausgesetzt, wie nun ein Artikel vom Stern in aller Deutlichkeit aufzeigt.
So haben laut Stern kalifornische Sicherheitsforscher „im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten“. Das israelische Sicherheitsunternehmen Check Point habe in seinem Labor in San Carlos herausgefunden, dass „mit nur einem falschen Klick“ den Nutzern „der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils“ gedroht habe. Darüber hinaus wäre es möglich gewesen, Nutzer über Alexa ausspionieren zu können.
Amazon hat die Angaben von Check Point mittlerweile bestätigt und die entsprechende Sicherheitslücke bereits behoben. „Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben – und werden unsere Systeme weiterhin stärken“, so ein Sprecher von Amazon. Ihnen seien keine Fälle bekannt, „in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden“. Wie der Stern berichtet, fand Check Point die Schwachstellen „nicht auf den Lautsprechern selbst, sondern in der Online-Infrastuktur von Amazon.“
So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel („CSRF-Token“) abzufangen und damit Aktionen im Namen des Opfers auszuführen. Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme („Skills“) entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen abzufangen.
Erfreulicherweise habe Amazon nach Bekanntwerden der Schwachstellen sehr schnell reagiert, berichtet Check Point. Das Unternehmen hat auch bereits andere Sicherheitsforschungen bei Tik Tok, Fortnite und WhatsApp durchgeführt und sei dabei auf „alarmierende Ergebnisse“ gestoßen. Weitere Details wollte die Sicherheitsfirma dazu allerdings vorerst nicht nennen.
Marlene
Wenigstens da reagiert Amazon. Auf die immensen seit Wochen und Monaten vorhandenen Software Probleme leider nicht. Echo Show der ersten Generation sind derzeit nahezu unbrauchbar weil sie ständig stocken, stottern oder einfrieren bzw. einfach die wlan Verbindung verlieren. Selbst im Amazon Forum wird darüber berichtet. Antwort vom Support: bekannt. Wir arbeiten dran. Seit Monaten!
XSS- und CSRF-Angriffe gehören zur OWASP Top 10. Also das Einmaleins der sicheren Webentwicklung. Jeder Webentwickler, der halbwegs ernst genommen werden will, testet seine Anwendung darauf, bevor seine Anwendung produktiv geht.
Und einmal mehr: Das S in IoT steht für Security, das P für Privacy. ??♂️