Ohne Knopfdruck das Licht anschalten, Musik abspielen und einen Wecker stellen. Der Sprachassistent Alexa von Amazon bietet Nutzern und Nutzerinnen Komfort. Doch Hacker hätten bislang scheinbar auch an private Daten gelangen können. Die Sicherheitslücken wurden laut Amazon nun behoben.
Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt. Sie hätten Hacker-Angriffe begünstigen können. Amazon hat das Problem allerdings nun behoben.
Sicherheitslücken seien nicht ausgenutzt worden
"Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils", teilte das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Ausserdem hätten die Anwender über Alexa ausspioniert werden können.
Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. "Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken." Amazon seien keine Fälle bekannt, "in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden".
Diese Schwachstellen gab es
Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren auch in der Lage, den Autorisierungsschlüssel ("CSRF-Token") abzufangen und damit Aktionen im Namen des Opfers auszuführen.
Dadurch hätte ein Hacker unter anderem auf dem Alexa-Konto eines Opfers Programme ("Skills") entfernen oder neu installieren können. Zudem hätte er auf den Stimmverlauf des Amazon-Kunden zuzugreifen können und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen stehlen. "Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein."
Lesen Sie auch: Amazon Echo: Alexa lacht plötzlich und ohne Befehl - Amazon arbeitet an Lösung
Auch Apps wie TikTok und WhatsApp sind unsicher
Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schliessen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten." Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und "alarmierende Ergebnisse" erhalten. Welche Schwachstellen das genau waren, wollte das Unternehmen nicht sagen. (spo/dpa)
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.