Amazon Alexa: Digitale Assistentin litt an schwerwiegender Sicherheitslücke
von André Westphal | 19 Kommentare
Check Point Research weist in einem neuen Report darauf hin, dass die digitale Assistentin Amazon Alexa bis vor kurzem an mehreren Sicherheitslücken litt. Damit konnte Alexa zu einem Einfallstor für Angreifer werden. So wäre für Dritte bei einem erfolgreichen Angriff etwa der Zugriff auf Bankdaten, Telefonnummern und Wohnadresse möglich gewesen.
Auch sämtliche Sprachaufzeichnungen aus der Alexa-Historie hätten abgegriffen werden können. Zusätzlich wäre die Möglichkeit zur unbemerkten Installation von Skills, die Einsicht in die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos plus Befugnis zur unbemerkten Installation oder Löschung von Applikationen vorhanden gewesen.
Wie kam es dazu? Check Point Research konnte zeigen, dass bestimmte Amazon- und Alexa-Subdomains anfällig für Cross-Origin-Ressource-Sharing-Fehlkonfigurationen (CORS) und Cross Site Scripting (XSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen. Ein Angriff hätte nur einen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.
Check Point informierte Amazon über die Ergebnisse und die Schwachstellen auf den Subdomains. Sie wurden mittlerweile entsprechend geschlossen. Ob die Sicherheitslücken in der Vergangenheit ausgenutzt worden sind, ist offen. Folgender Angriffsablauf wäre möglich gewesen:
- Ein Alexa-Benutzer klickt auf einen gefälschten Link, der ihn angeblich zu Amazon leitet, woraufhin der Angreifer die Möglichkeit hat, schädlichen Code auszuführen.
- Der Angreifer erhält eine Liste aller installierten Anwendungen auf dem Alexa-Konto und das CRF-Token des Benutzers.
- Der Angreifer kann nun eine oder mehrere Anwendungen des Benutzers löschen.
- Dann installiert der Angreifer eine gefälschte Anwendung desselben Rufnamens wie die gelöschte.
- Sobald der Benutzer diese über den Sprachbefehl aufruft und so die Hacker-App aktiviert, versetzt er den Angreifer in die Lage, verschiedene Aktionen über Alexa durchzuführen und das Konto sozusagen zu übernehmen.
Tja, unschöne Angelegenheit, sage ich mal. Falls ihr mehr Informationen über die Angriffsmöglichkeiten und den gesamten, technischen Hintergrund erfahren wollt, empfiehlt sich ein Blick in die Quelle.
Wird geladen ...
Test
Meine Alexa hatte in den letzten Tagen schwere Hörschäden.
Bei mir kommt der Dreck erst nicht ins Haus da bleibt der Puls auch unten wenn ich solche Meldungen lese 🙂
Alternativ klick nicht jede Scam-Mail und die darin befindlichen Links an, dann kannst du auch dein Smartphone und deinen PC genauso sicher nutzen wie nen Smartspeaker!
Das S in IoT steht für Sicherheit.
Das S für Sicherheit steht an letzter Stelle. Soso!
Das ist zwar eine Lücke, setzt aber voraus das der User aktiv wird, also wie jeder phishing Angriff.
Insofern mache ich mir da weniger Sorgen. Aber schön dass Amazon so schnell reagiert und das Problem behoben hat. Manch andere Firmen schieben solche Probleme gern mal auf die lange Bank.
Davon abgesehen bin ich mit dem „Dreck“ Alexa sehr zufrieden. Es macht was es soll.
Phishing ist kein IoT Problem, sondern ein grundsätzliches was den User angreift.
Die Lücken sind Fehlkonfigurationen im Backend und auch nicht IoT spezifisch.
Im Gegensatz zu vielen Anbietern macht Amazon da einen recht guten Job. Fehler passieren und sind in der Regel von Menschen gemacht.
Das beste was Mensch machen kann ist es den Kopf einzuschalten und nicht einfach irgendwo blind draufzuklicken.
Danke!
Schranke!
Sehe ich genauso! Das aktive handeln des Nutzers wurde vorausgesetzt… meiner Meinung nach keine riesen Lücke, solang der Nutzer ein bisschen nachdenkt.
Das ist wie diese iOS Lücken auf die aber vorher aktiv aufs iPhone zugegriffen werden muss. Wem das passiert, dem kann nicht geholfen werden.
> meiner Meinung nach keine riesen Lücke, solang der Nutzer ein bisschen nachdenkt.
…also kurz: eine gigantische Lücke 😀
@André Cross Site Scripting wird mit XSS abgekürzt. CSS ist Cascading Style Sheets. Wobei bei CSS auch manche eine große Lücke haben 😉
Danke, das hab ich versehentlich aus der Quelle übernommen / übersehen – war dort auch falsch :-D. Habs verbessert.
Tja, unschöne Angelegenheit, sage ich mal.
Wie wäre der Kommentar bei einem Apple Produkt ausgefallen?
Bei Apple gibt es keine Schwachstellen die ausgenutzt werden können. Das System ist von Grund auf sicher entworfen worden.
An Apple a day, keeps the Doktor away… 😉
@Topper: Ironie? Oder nicht?
Ironie. Und das als Linux und Apple „Fanboy“ 🙂
Gegen die „Dummheit“ der User gibt es kein 100% Schutz. Bei Apple wohl 90% weil man da nicht als vollmündiger User angesehen wird und fast nix darf. Selbst wenn es nicht Dummheit ist, „Unwissenheit schützt vor Strafe nicht“
Auch der kassierte iPhone User kann auf einen Link in einer Phishing-E-Mail klicken.
Aber selbst schuld wer auf E-Mail irgendwelche Amazon Fake Mails reagiert, die druch schlechte Übersetzer gejagt wurden und der erste Satz schon kein Sinn ergibt.