Amazon Alexa: Digitale Assistentin litt an schwerwiegender Sicherheitslücke

Check Point Research weist in einem neuen Report darauf hin, dass die digitale Assistentin Amazon Alexa bis vor kurzem an mehreren Sicherheitslücken litt. Damit konnte Alexa zu einem Einfallstor für Angreifer werden. So wäre für Dritte bei einem erfolgreichen Angriff etwa der Zugriff auf Bankdaten, Telefonnummern und Wohnadresse möglich gewesen.

Auch sämtliche Sprachaufzeichnungen aus der Alexa-Historie hätten abgegriffen werden können. Zusätzlich wäre die Möglichkeit zur unbemerkten Installation von Skills, die Einsicht in die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos plus Befugnis zur unbemerkten Installation oder Löschung von Applikationen vorhanden gewesen.

Wie kam es dazu? Check Point Research konnte zeigen, dass bestimmte Amazon- und Alexa-Subdomains anfällig für Cross-Origin-Ressource-Sharing-Fehlkonfigurationen (CORS) und Cross Site Scripting (XSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen. Ein Angriff hätte nur einen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.

Check Point informierte Amazon über die Ergebnisse und die Schwachstellen auf den Subdomains. Sie wurden mittlerweile entsprechend geschlossen. Ob die Sicherheitslücken in der Vergangenheit ausgenutzt worden sind, ist offen. Folgender Angriffsablauf wäre möglich gewesen:

  • Ein Alexa-Benutzer klickt auf einen gefälschten Link, der ihn angeblich zu Amazon leitet, woraufhin der Angreifer die Möglichkeit hat, schädlichen Code auszuführen.
  • Der Angreifer erhält eine Liste aller installierten Anwendungen auf dem Alexa-Konto und das CRF-Token des Benutzers.
  • Der Angreifer kann nun eine oder mehrere Anwendungen des Benutzers löschen.
  • Dann installiert der Angreifer eine gefälschte Anwendung desselben Rufnamens wie die gelöschte.
  • Sobald der Benutzer diese über den Sprachbefehl aufruft und so die Hacker-App aktiviert, versetzt er den Angreifer in die Lage, verschiedene Aktionen über Alexa durchzuführen und das Konto sozusagen zu übernehmen.

Tja, unschöne Angelegenheit, sage ich mal. Falls ihr mehr Informationen über die Angriffsmöglichkeiten und den gesamten, technischen Hintergrund erfahren wollt, empfiehlt sich ein Blick in die Quelle.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

19 Kommentare

  1. Meine Alexa hatte in den letzten Tagen schwere Hörschäden.

  2. Bei mir kommt der Dreck erst nicht ins Haus da bleibt der Puls auch unten wenn ich solche Meldungen lese 🙂

    • Alternativ klick nicht jede Scam-Mail und die darin befindlichen Links an, dann kannst du auch dein Smartphone und deinen PC genauso sicher nutzen wie nen Smartspeaker!

  3. Das S in IoT steht für Sicherheit.

  4. Das ist zwar eine Lücke, setzt aber voraus das der User aktiv wird, also wie jeder phishing Angriff.
    Insofern mache ich mir da weniger Sorgen. Aber schön dass Amazon so schnell reagiert und das Problem behoben hat. Manch andere Firmen schieben solche Probleme gern mal auf die lange Bank.

    Davon abgesehen bin ich mit dem „Dreck“ Alexa sehr zufrieden. Es macht was es soll.
    Phishing ist kein IoT Problem, sondern ein grundsätzliches was den User angreift.
    Die Lücken sind Fehlkonfigurationen im Backend und auch nicht IoT spezifisch.
    Im Gegensatz zu vielen Anbietern macht Amazon da einen recht guten Job. Fehler passieren und sind in der Regel von Menschen gemacht.
    Das beste was Mensch machen kann ist es den Kopf einzuschalten und nicht einfach irgendwo blind draufzuklicken.

    • Sehe ich genauso! Das aktive handeln des Nutzers wurde vorausgesetzt… meiner Meinung nach keine riesen Lücke, solang der Nutzer ein bisschen nachdenkt.

      Das ist wie diese iOS Lücken auf die aber vorher aktiv aufs iPhone zugegriffen werden muss. Wem das passiert, dem kann nicht geholfen werden.

      • > meiner Meinung nach keine riesen Lücke, solang der Nutzer ein bisschen nachdenkt.

        …also kurz: eine gigantische Lücke 😀

  5. @André Cross Site Scripting wird mit XSS abgekürzt. CSS ist Cascading Style Sheets. Wobei bei CSS auch manche eine große Lücke haben 😉

    • André Westphal says:

      Danke, das hab ich versehentlich aus der Quelle übernommen / übersehen – war dort auch falsch :-D. Habs verbessert.

  6. Bartenwetzer says:

    Tja, unschöne Angelegenheit, sage ich mal.

    Wie wäre der Kommentar bei einem Apple Produkt ausgefallen?

  7. Gegen die „Dummheit“ der User gibt es kein 100% Schutz. Bei Apple wohl 90% weil man da nicht als vollmündiger User angesehen wird und fast nix darf. Selbst wenn es nicht Dummheit ist, „Unwissenheit schützt vor Strafe nicht“

    • Auch der kassierte iPhone User kann auf einen Link in einer Phishing-E-Mail klicken.
      Aber selbst schuld wer auf E-Mail irgendwelche Amazon Fake Mails reagiert, die druch schlechte Übersetzer gejagt wurden und der erste Satz schon kein Sinn ergibt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.