Technologie

Forscher finden gravierende Sicherheitslücken in Alexa

Sicherheitsforscher haben im Sprachassistenzsystem von Amazon mehrere gravierende Sicherheitslücken entdeckt, die es Hackern ermöglicht haben, Alexa-Nutzer auszuspionieren. Laut Amazon sind die Fehler jetzt behoben.
13.08.2020 13:17
Lesezeit: 1 min

Sicherheitsforscher aus Kalifornien haben im Sprachassistenzsystem Alexa von Amazon und den dazugehörigen vernetzten Lautsprechern mehrere gravierende Sicherheitslücken entdeckt, die Hacker-Angriffe ermöglicht hätten. "Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils", teilte am Donnerstag das israelische Sicherheitsunternehmen Check Point mit, das die Schwachstellen in seinem Labor in San Carlos entdeckt hatte. Außerdem hätten die Anwender über Alexa ausspioniert werden können.

Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. "Wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns auf potenzielle Probleme aufmerksam machen. Wir haben die Schwachstelle umgehend behoben, nachdem wir davon erfahren haben - und werden unsere Systeme weiterhin stärken." Amazon seien keine Fälle bekannt, "in denen diese Schwachstelle zuungunsten unserer Kunden ausgenutzt wurde oder Kundeninformationen offengelegt wurden".

Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So habe man bestimmte Internet-Domains von Amazon und Alexa mit sogenannten Cross Site Scripting angreifen können. Die Forscher waren außerdem in der Lage, den Autorisierungsschlüssel ("CSRF-Token") abzufangen und damit Aktionen im Namen des Opfers auszuführen.

Mit diesen Methoden hätte ein Angreifer unter anderem auf dem Alexa-Konto eines Opfers Programme ("Skills") entfernen oder neu installieren können. Möglich sei auch gewesen, auf den Stimmverlauf des Amazon-Kunden zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. "Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein."

Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomains zu schließen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten." Ähnlich Sicherheitsforschung habe Check Point bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und "alarmierende Ergebnisse" erhalten. Das Unternehmen wollte aber nicht sagen, welche Schwachstellen dies genau waren.

Mehr zum Thema
article:fokus_txt
DWN
Finanzen
Finanzen EU-Vermögensregister und Bargeldbeschränkungen: Risiko für Anleger

Das EU-Vermögensregister gehört derzeit zu den größten Risiken für Anleger. Daher ist es wichtig, sich jetzt zu überlegen, wie man...

DWN
Wirtschaft
Wirtschaft Euro-Kurs wird zur Gefahr: Europas Exporte brechen ein
06.07.2025

Ein starker Euro, schwaches Wachstum, neue US-Zölle – Europas Wirtschaft gerät unter Druck. Die EZB warnt, doch die Lage droht zu...

DWN
Politik
Politik Neuregelung der Vaterschaft: Mehr Rechte für leibliche Väter
06.07.2025

Die Bundesregierung plant eine Reform, die leiblichen Vätern zu mehr rechtlicher Anerkennung verhelfen soll. Der Entwurf aus dem...

DWN
Immobilien
Immobilien Wohnungstausch: Wie Sie Ihre Ferienwohnung herzaubern und worauf Sie achten müssen
06.07.2025

Der Wohnungstausch boomt – günstig, persönlich und spannend. Doch wie funktioniert das Ganze wirklich, und worauf muss man achten,...

DWN
Unternehmen
Unternehmen Jungmakler mit TikTok: Wie eine Generation den Versicherungsmarkt neu denkt
06.07.2025

TikTok-Reichweite, neue Rollenbilder, klare Erwartungen: Junge Makler treiben die Disruption im unabhängigen Versicherungsvertrieb voran....

DWN
Technologie
Technologie Wäschetrockner: Neues Energie-Label einfach erklärt
06.07.2025

Seit dem 1. Juli gelten für Wäschetrockner strengere Energiekennzeichnungen. Verbraucher sollen Geräte nun besser vergleichen können....

DWN
Unternehmen
Unternehmen Praktika und Probearbeiten: Rechte, Pflichten und Fallstricke für Berufseinsteiger
06.07.2025

Viele Praktikanten kennen ihre Rechte nicht – und riskieren, ausgenutzt zu werden. Was wirklich erlaubt ist, wann Praktika bezahlt werden...

DWN
Technologie
Technologie Lithium: Schlüssel zur technologischen Unabhängigkeit – doch der Rohstoff ist knapp
06.07.2025

Lithium ist der Treibstoff moderner Technologien – von E-Autos bis Energiewende. Doch was passiert, wenn die Nachfrage explodiert und das...

DWN
Politik
Politik Rückkehr der Wehrplicht trotz Wirtschaftsflaute? Nato-Ziele nur mit Pflicht zum Wehrdienst möglich
05.07.2025

Die Nato drängt: „Um der Bedrohung durch Russland zu begegnen“, hat die Nato ein großes Aufrüstungsprogramm beschlossen. Doch wie...