Alexa Skills bergen laut Forschern Sicherheitsrisiken und Datenschutzprobleme

Datenschutz bei Smart Speakern und smarten Assistenten: Das ist ja so ein ewiges Thema, das immer wieder neu aufgerollt wird. Nun haben Wissenschaftler des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum (RUB) und der North Carolina State University Probleme mit Amazon Alexa bzw. konkret den Alexa Skills aufgedeckt. So sei es immer noch für Dritte relativ einfach möglich, Daten abzugreifen.

Über 90.000 Skills aus den Stores in sieben Ländern hatte man gemeinsam analysiert. Vor allem sei ein Problem, dass Amazon die Skills seit 2017 teilweise automatisch aktiviere. Zuvor mussten Anwender der Nutzung jedes Skills erst zustimmen. Es entstehe zwar durch die automatische Aktivierung mehr Bequemlichkeit für die Nutzer, aber auch eine erhöhte Intransparenz. Denn es sei oftmals für den Nutzer offen, woher die Antwort stamme, die Alexa aus einem nun nicht mehr explizit ausgewiesenen Skill ziehe.

Ein Problem sei auch, dass es weiterhin möglich sei, Skills unter falschem Namen zu veröffentlichen. Skill Squatting nennt sich das Prinzip, bei dem vorgegeben wird für einen anderen Anbieter tätig zu sein bzw. jenen zu repräsentieren – gern praktiziert etwa mit Skills für Autos. Die Forscher geben an, dass es ihnen im Rahmen ihrer Studie auch selbst möglich gewesen sei, Skills im Namen eines großen Unternehmens herauszugeben. So könnte man Nutzer leicht in die Irre führen, wenn sie nicht ganz genau hinsehen.

Entwarnung: Es sei Dritten nicht möglich, direkt verschlüsselte Daten abzugreifen oder Befehle in bösartiger Absicht zu verändern. Da wird euch also nicht jemand plötzlich die Autotüren entsperren. Was aber auf diese Weise möglich wäre, wäre eben das Angreifen persönlicher Informationen und z. B. von Standortdaten. Problematisch sei auch weiterhin, dass es nachträglich möglich bleibe, Skills umfangreich zu verändern. Das mache den Zertifizierungsprozess von Amazon unsicher. Denn es sei möglich, einen konformen Skill zunächst unauffällig durchwinken zu lassen, um ihn später auf zweifelhafte Weise anzupassen – etwa um Kreditkartendaten abzufragen.

Sieht man von jenen Probleme ab, dann wurden zusätzlich noch teils erhebliche Mängel in den Allgemeinen Datenschutzerklärungen der angebotenen Skills nachgewiesen. Gerade einmal 24,2 % der überprüften Skills wiesen überhaupt eine Privacy Policy auf. Gerade in den sensiblen Bereichen „Kids“ sowie „Gesundheit und Fitness“ lagen die Anteile sogar noch niedriger.

Amazon habe diese Probleme gegenüber dem Forscherteam eingeräumt und arbeite laut eigenen Aussagen an Gegenmaßnahmen.

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Mein Fazit zu Alexa: Ich habe die Echos wieder abgeschafft. Nicht wegen Datenschutzbedenken, einfach weil zu viel nicht funktioniert hat und das was funktioniert hat, hat niemand benutzt. Z.B. Licht oder andere Aktoren per Sprache schalten: Ich hab’s eingerichtet, dann hat es die ganze Familie mal ausprobiert, im Alltag wurde es nie verwendet. Musik per Spotify – klappte in 30-40% der Fälle nur per Spotify connect. Da nehme ich gleich den Bluetooth Speaker, klingt auch besser. Küchentimer waren toll, aber nur dafür war es mir das nicht wert. Die Dots vergammeln in der Elektrokiste, der normale Echo wird wenigstens noch von den Kindern zum Hörspiele abspielen benutzt.

    • Mein Google Home Mini wird auch selten genutzt – Timer stellen, ab und an Kaffeemaschine oder Lichter an-/ausschalten und sehr selten für Musik oder kleinere Webanfragen.

      Zum aktuellen Zeitpunkt lohnt es sich für mich persönlich einfach nicht.

    • Ich habe sie abgeschafft weil sie außer für Licht und Musik nicht genutzt wurden. Dafür aber sehr viel Unruhe in die Familie gebracht haben. Einfach mal Radio laufen lassen? Unmöglich. Alle 2 Minuten wolle jemand exakt Lied XY hören (gerne auch oft hintereinander). Dann versteht die Blechbüchse es nicht und man muss laut seinen Befehl wiederholen….

      Komplexere „Skills“ funktionieren kaum bzw. sind zu kompliziert zu bedienen und werden daher nicht genutzt.

      Gute Idee im Prinzip, spannend was schon alles geht. Aber aktuell für mich zumindest einfach nicht ausgereift genug.

    • Bei mir ist es umgekehrt, meine Echos insbesondere den Studio möchte ich nicht mehr missen.
      Über Amazon Music klappt auch das meiste.
      Das wichtigste für mich sind aber die Routinen. Mit einem Guten Morgen gehen die relevanten Lichter an, Termine und Verkehr werden angesagt und Radio startet.
      Auf ein Ich bin weg werden alle Räume abgeschaltet und die Heizung reduziert. Oder per Fernseher bitte wird dieser eingeschaltet, Musik und Licht abgeschaltet, usw.
      Sowas wie der Rasensprenger oder die Markise werden per Automation gesteuert.
      Ein paar wenige Kommandos müssen ausreichen, dann gewöhnt man sich rasch daran und mag Fernbedienungen nicht mehr anfassen.

  2. Unter Android hat man doch auch das Problem, dass Apps aufgekauft und dann durch Malware ersetzt werden. Scheint ja bei Alexa wohl auch möglich zu sein.

    • Das Problem hat man nicht, wenn man vernünftig gewartete Stores benutzt. Malware wie Agent Smith schleicht sich ausschließlich durch dubiose Drittanbieter-Stores ein, die man explizit in Android als Quelle freischalten muss. Hier ist eher das Problem, dass Amazon wohl den Store auch nach Jahren nicht vernünftig verwaltet bzw. kontrolliert. Das hat mich schon in den Anfangsjahren des Echo gestört und war letztlich ein Grund für den Wechsel zum Google Assistent. Auch hier gibt es Schattenseiten, der Skill-Store von Amazon hatte aber schon immer einen ganz miserablen Qualitätsanspruch.

      • Eine kurze Suche nach „Agent Smith Play Store“ offenbarte, dass die Malware sehr wohl über den Store von Google verteilt wurde (und das Mitte 2019 mit einer Malware, die schon seit 2018 bekannt war). Wieso sollte dann der Skill-Store besser kontrolliert sein?

  3. Manchmal braucht es Zeit sich an Sprachkommandos zu gewöhnen. Ich nutze Alexa neben der Lichtsteuerung auch für die Bedienung des TV, inkl. Umschalten mittels der Sendernamen. Das macht mein Sohn (11) genauso wie meine nicht besonders technikaffine Frau. Timer und Wecker werden auch oft benutzt, wie auch als Haustelefon. Die Kameras um und im Haus kann ich sehen. Ich nutzte IO-Broker dazu, um mir Meldungen z.B. das es ander Haustür klingelt oder die Haustür per Code/RFID geöffnet wurde auszugeben. Der Saugroboter meldet seine Probleme auch darüber. Ich konnte auch den Batterie-Status meines eAutos abfragen oder die Heizung starten. Das hab ich aber wieder abgeklemmt, da der Fahrzeughersteller Probleme hat, seine API per Script anzusprechen statt von seiner App.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.