Dienstag, 19. März 2024

Archiv

Sicherheitslücke bei Amazons Alexa
Millionen Nutzer könnten ausspioniert worden sein

200 Millionen Menschen weltweit nutzen regelmäßig die Dienste von Amazons Sprachassistentin Alexa. IT-Experten warnen schon länger davor, dass Hacker Sicherheitslücken der Geräte nutzen könnten, um Zugriff auf persönliche Daten der Nutzer zu erhalten. Offenbar waren diese Befürchtungen berechtigt.

Von Peter Welchering | 13.08.2020
Eine Familie mit einem Sprachassistenten Alexa der US-Firma Amazon
Der intelligente Lautsprecher Alexa von Amazon steht weltweit in vielen Wohnzimmern (Howard Lipin/San Diego Union-Tribune/TNS)/ picture alliance )
Sicherheitsforscher der israelischen Sicherheitsfirma Checkpoint Research haben Schwachstellen bei Amazons Sprachassistentin Alexa gefunden und Sicherheitslücken veröffentlicht. Diese betreffen Alexa-Websites, beziehungsweise Amazon-Websites. Dabei geht es gleich um zwei Klassen von Sicherheitslücken. Im Ergebnis führte das dazu, dass mehrere Millionen Alexa-Geräte, von denen es weltweit etwa 200 Millionen gibt, angreifbar waren.
Was bedeutet das für die Nutzer?
Die Alexa-Geräte konnten abgehört werden. Außerdem war der Zugriff auf die persönlichen Daten der Alexa-Anwender möglich, also Bankdaten, Telefonnummer, Adresse. Hierüber wiederum konnten dann auf den Alexa-Konten dieser Nutzer Apps installiert werden, mit denen man alles Mögliche ausführen kann. So konnte man zum Beispiel einzelne Alexa-Geräte gezielt ansteuern und erforschen, was der Nutzer aktuell tut oder sagt, denn die entdeckten Sicherheitslücken machen es möglich, auf die Sprachaufzeichnungen zuzugreifen.
Betroffen waren nach Aussagen der Sicherheitsforscher von Checkpoint Research weltweit tatsächlich potenziell alle Alexa-Anwender, also 200 Millionen. Ob und wieviele Angriffe tatsächlich stattgefunden haben, ist nicht bekannt. Laut Deutscher Presse Agentur sind Amazon keine Fälle bekannt, wo diese Schwachstellen ausgenutzt worden seien. Da die Angriffsmethoden zu den Sicherheitslücken gehören, die nicht neu sind, also zum Standardinstrumentarium der organisierten Kriminalität und der Nachrichtendienste gehören, muss man aber davon ausgehen, dass Angriffe stattgefunden haben. Von Amazon gab es gegenüber dem Deutschlandfunk dazu keine Auskunft.
Um welche Schwachstellen handelt es sich genau?
Es sind Schwachstellen für Angriffsmethoden, über die Sicherheitsexperten tatsächlich schon einige Jahre lang diskutieren. Eine Schwachstelle besteht darin, dass Anfragen der Alexa-Clients an den Server möglich waren, die eigentlich durch einen Standard untersagt sind, der Same-Origin-Policy heißt. Die Alexa-Box und die Lautsprecher sind eigentlich einfache, "dumme" Geräte, die beim Alexa-Server anfragen müssen, wenn sie Aufgaben für ihren Besitzer ausführen sollen. Wenn man Alexa sagt: "Bestelle mir mal eine Pizza", läuft das über einen speziellen Server.
Auf diesen Alexa-Servern ist ein Mechanismus verwendet worden, der den Alexa-Sprachassistenten, also den Clients, sehr weitgehende Anfragen erlaubt. Dort gab es eine Schwachstelle: Die Alexa-Boxen, die Klienten, wie sie in der Fachsprache heißen, konnten alles Mögliche in ihre Anfragen reinpacken - auch Codes, um sich anschließend auf dem Server Rechte zu verschaffen. Wenn man einen Angriff ausführen wollte, würde man also so tun, als sei man eine Alexa-Box. Dann würde man in der Frage an den Server einen Code integrieren, der es einem erlaubt, anschließend auf den Server zuzugreifen und dort in die Konten anderer Alexa-Nutzer zu schauen.
Sind die Schwachstellen inzwischen von Amazon geschlossen worden?
Die Sicherheitsforscher von Checkpoint Research sagen, dass Amazon schnell reagiert habe, nachdem man sie auf die Sicherheitslücken aufmerksam gemacht habe. Laut dpa hat ein Amazon-Sprecher die Angaben von Checkpoint bestätigt und darauf verwiesen, dass die Schwachstelle inzwischen behoben sei. Einer entsprechenden Dlf-Anfrage bei Amazon wurde die Antwort verweigert. Da Checkpoint mit diesen Sicherheitslücken bei Alexa jetzt an die Öffentlichkeit gegangen ist, kann man allerdings schon davon ausgehen, dass die Schwachstellen geschlossen sind, sonst wären sie nicht veröffentlicht worden. Das Risiko wäre zu hoch.
Wem sind solche Angriffe zuzutrauen?
Die organisierte Kriminalität ist an Bankdaten interessiert. Über Alexa kann unaufwändig bei Online-Versandhäusern bestellt werden. Solch ein Identitätsdiebstahl zur Bestellung bei Versandhäusern ist ja keine neue Kriminalitätsform. Die smarte Wohnung kann ebenfalls mit Alexa gesteuert werden - das erleichtert es, in die Wohnung zu kommen, wenn man auf Alexa Zugriff hat. Was die phantastischen Abhörmöglichkeiten, den Zugriff auf Sprachaufzeichnungen bei Alexa angeht, da gibt es viele Begehrlichkeiten von zahlreichen Nachrichtendiensten der Welt.