Amazons Alexa geknackt, zahlreiche Sicherheitslücken

[English]Sicherheitsforscher von Check Point Research Amazons Alexa geknackt und gravierende Sicherheitslücken entdeckt. Diese wurden umgehend an Amazon gemeldet und mittlerweile geschlossen. Bis dahin aber konnte jeder Nutzer zum Opfer eines Hacker-Angriffes werden – ohne es zu merken. Sensible Daten, wie die Historie aller Sprachaufzeichnungen, könnten bereits gestohlen worden sein.


Anzeige

Es ist eine häufiger hier im Blog geäußerte Meinung: ‘Leute, lasst die Finger von IoT-Geräten und vor allem von intelligenten Lautsprechern wie Amazons Alexa, denn das ist sicherheitstechnisch ein Alptraum’. Scheint eine selbsterfüllende Prophezeiung gewesen zu sein, denn der Alptraum ist wahrgeworden.

Amazon Alexa ist in vielen Haushalten

Über 200 Millionen Alexa-Geräte verschiffte Versand-Riese Amazon bereits in Haushalte auf der ganzen Welt. Mittels Spracheingabe können die Nutzer andere Smart-Home-Geräte steuern, Musik abspielen, Fernsehen und Produkte aus dem Online-Versandhaus sofort ordern. Ein Aspekt ist aber, dass die Sprachassistenten ggf. ungewollt ansprechen und alle Sprache in der Umgebung mitschneiden und an Amazon & Co. übertragen. Ich hatte hier im Blog ja diverse Beiträge, in denen vor diesem Szenario gewarnt wurde.

Bundestags-Gutachten warnt Eltern vor Amazons Alexa
Warnung der Verbraucherzentrale vor Amazons Alexa
Amazons Alexa-Aufzeichnungen werden nicht gelöscht
mazon verschickt unkontrolliert Alexa-Sprachaufzeichnungen

Ein Datenschutzalptraum. Kürzlich wies mich jemand bei administrator.de auf diesen Post hin und bat mich, dieser Frage nachzugehen. Die TU-Darmstadt entwickelt ein Anti-Spy-Tool, um Sprachassistenten wie Amazons Alexa das unbemerkte Mithorchen abzugewöhnen. Inzwischen habe ich gesehen, dass heise das Thema in diesem Artikel aufgegriffen haben. Ist alles nicht praxisreif – und ich sag es mal so: Wer vor so etwas Manschetten hat, sollte sich schlicht kein Alexa & Co. ins Haus holen.

Amazons Alexa hackbar

Wegen dieser dauerhaften Anbindung aber an das Internet und der Vernetzung mit weiteren Geräten im Haushalt, sind Amazons Alexa-Geräte zudem ein interessantes Einfallstor für Hacker. Sicherheitsforscher von Check Point vermuteten, dass da noch was geht und begannen zu forschen. Nach wenigen Versuchen bestätigte sich nun: Amazons Sprach-Assistent kann ein sehr gefährliches Einfallstor für Angreifer sein. Die Experten fanden bei genauerer Betrachtung des Smart-Home-Devices Amazon Alexa diverse Schwachstellen, die von Angreifern ins Visier genommen werden können.

Ein falscher Klick reicht

Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils. Außerdem konnten sie über Alexa ausspioniert werden. Bei einem erfolgreichen Angriff hätten die Hacker:

  • Zugriff auf die persönlichen Informationen eines Opfers, wie die Bankdaten, den Benutzernamen, Telefonnummern und Wohnadresse erhalten.
  • Zugriff auf sämtliche Sprachaufzeichnungen erhalten, die in Alexa als Historie hinterlegt werden.
  • die Möglichkeit zur unbemerkten Installation von Skills (Apps) auf dem Alexa-Konto eines Benutzers gehabt.
  • Einsicht in die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos erhalten.
  • Befugnis zur unbemerkten Installation oder Löschung von Applikationen bekommen.

Aus technischer Sicht gelang es den Forschers von Check Point zu zeigen, dass bestimmte Amazon- und Alexa-Subdomains anfällig für einfache Cross-Origin Ressource Sharing (CORS)-Fehlkonfigurationen und Cross Site Scripting (CSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen.

Skills installierbar, Sprachverlauf abgreifbar


Anzeige

So hätten diese Exploits es einem Angreifer ermöglichen können, Skills (externe Zusatzfunktionen) auf dem Alexa-Konto eines Opfers zu entfernen oder zu installieren, auf dessen Stimmverlauf zuzugreifen und persönliche Informationen über die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. Ein Angriff hätte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.

Besonders der Zugriff Sprach-Historie hätte Hackern wertvolle und intime Informationen über den Benutzer in die Hände spielen können, sowie das Tor für weitere Social Engineering Angriffe über Vishing öffnen können.

(Quelle: YouTube)

Schwachstellen geschlossen

Check Point informierte Amazon über die Ergebnisse und die Schwachstellen auf den Subdomains. Sie wurden entsprechend geschlossen. Bis dahin aber, kann ein Nutzer zum Opfer eines solchen Angriffes geworden sein. Ablaufen hätte ein Angriff folgendermaßen können:

  1. Ein Alexa-Benutzer klickt auf einen gefälschten Link, der ihn angeblich zu Amazon leitet, woraufhin der Angreifer die Möglichkeit hat, schädlichen Code auszuführen.
  2. Der Angreifer erhält eine Liste aller installierten Anwendungen auf dem Alexa-Konto und das CRF-Token des Benutzers.
  3. Der Angreifer kann nun eine oder mehrere Anwendungen des Benutzers löschen.
  4. Dann installiert der Angreifer eine gefälschte Anwendung desselben Rufnamens wie die gelöschte.
  5. Sobald der Benutzer diese über den Sprachbefehl aufruft und so die Hacker-App aktiviert, versetzt er den Angreifer in die Lage, verschiedene Aktionen über Alexa durchzuführen und das Konto sozusagen zu übernehmen.

„Intelligente Lautsprecher und virtuelle Assistenten sind so alltäglich, dass man leicht übersieht, wie viele persönliche Daten sie sammeln und welche Rolle sie bei der Steuerung anderer intelligenter Geräte in unseren Wohnungen spielen“, erklärt Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point: „Hacker erkennen sie dagegen als Einstiegspunkte in das häusliche Leben der Menschen und missbrauchen sie, um auf intime Daten zuzugreifen, Gespräche zu belauschen oder andere böswillige Aktionen durchzuführen. Der Besitzer merkt davon nichts. Wir haben diese Untersuchung durchgeführt, um zu zeigen, wie wichtig die zuverlässige Absicherung dieser Geräte ist, um die Privatsphäre der Benutzer zu wahren. Amazon reagierte schnell auf unsere Offenlegung, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdomänen zu schließen. Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten. Ähnlich Sicherheitsforschung haben wir bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und alarmierende Ergebnisse erhalten. Alexa allerdings hat uns aufgrund seiner Allgegenwart und seiner Verbindung zu anderen IoT-Geräten in der Wohnung schon seit einiger Zeit Sorgen bereitet. Es sind diese riesigen, digitalen Plattformen, die uns Menschen am meisten schaden können. Daher ist der Grad deren Sicherheit von entscheidender Bedeutung.“


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Alexa, Amazon, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Amazons Alexa geknackt, zahlreiche Sicherheitslücken


  1. Anzeige
  2. TorstenJ sagt:

    So ändern sich die Zeiten …

    1983: “Ich kann nicht offen reden, meine Wohnung ist vielleicht verwanzt!”

    2020: “Wanze, schreib Bier auf die Einkaufsliste!”

  3. Steter Tropfen sagt:

    Alltäglich? Allgegenwart? – Irgendwie haben da manche Leute die Maßstäbe verloren. Bei den meisten Menschen ist so ein Zeug gottseidank noch nicht alltäglich. Der gesunde Menschenverstand wehrt sich immer noch gegen diesen Vernetzungs-Überwachungskram, der vor erst relativ kurzer Zeit über die bedenkenlosen Alles-haben-müssens hereingeschwappt ist.

    Wenn man liest, was damit alles möglich ist – Zugriff auf persönliche Daten, Anlegen von Sprachaufzeichnungen, unbemerkte Installation oder Löschung von Software – müssen sich einem doch sämtliche Haare aufstellen. Ob das nun von irgendwelchen Hackern gemacht wird oder von den organisierten Amazon-Spitzeln, ist doch eigentlich Jacke wie Hose.

    • Mance sagt:

      In onsera Gegend sait ma in so ma Fall “Do möcht oim grad d’r Arsch schwätza”

    • Günter Born sagt:

      Epidode vom Jahreswechsel (hatte ich schon mal hier im Blog thematisiert): Anruf der über 80 jährigen Tante so zu Weihnachten – für mich überraschend. Im Gespräch erwähnte sie: Ich war kürzlich bei meiner Freundin. Die sagte ‘schau mal, was mir mein Sohn geschenkt hat’ und sprach ‘Alexa, wie wird das Wetter’ – und dann hat die geantwortet – wie ist das bloß möglich”

      Und so kommt das Zeugs auch zu den 80 jährigen Omas – 250 Millionen verkaufte Geräte stehen nicht beim Donald Trump ihren Landleuten herum …

  4. Anzeige

  5. Triceratops sagt:

    Nun ja wer sich eine Amazon (US) Quasselbüchse ins Haus holt ist selbst schuld, und muss mit eventuellen Sicherheitslücken leben (Hab die Quasselbüchse zum Glück nicht).

  6. WST sagt:

    Der Film lief erst kürzlich, zeigt vielleicht etwas übertrieben was sein kann. https://www.themoviedb.org/movie/340677-i-t

  7. Knusper sagt:

    “Ein Alexa-Benutzer klickt auf einen gefälschten Link, der ihn angeblich zu Amazon leitet, …”
    Bei Alexa kann man nicht auf einen Link klicken. Und wenn man z.B. in einem Browser auf einen gefälschten Link klickt? Was da alles passieren kann! Vielleicht sogar mit Alexa…
    (ich verwende Alexa und manchmal sage ich zu meinem Phone auch “ok, google”)

  8. Anzeige

  9. Steffen Kühn sagt:

    Wenn man nur Licht oder einfache Geräte wie mit einer Fernbedienung mit Sprache ein- und ausschalten möchte, geht das auch garantiert abhörsicher:

    https://www.startnext.com/kommandowortschalter

    Die Spracherkennung ist im Gerät selbst. Da es “nur” eine Geräuscherkennung ist, braucht es nicht viel Leistung und vor allem keine Internetverbindung. Das Keyword spricht man einmal vor und ist fertig. Funktioniert sehr robust, schnell, ist sicher, veraltet nicht und hält viele Jahre. Und es braucht nur eine Steckdose und sonst nichts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.