Categories: Sicherheit

Amazon schließt schwerwiegende Lücken in seinem Sprachassistenten Alexa

Check Point hat Details zu mehreren Schwachstellen in Amazons digitalem Sprachassistenten Alexa veröffentlicht. Sie erlaubten es unter anderem, persönliche Daten und Sprachaufnahmen zu stehlen. Angriffe waren demnach über Alexa-Subdomains möglich, die anfällig für Cross-Origin Ressource Sharing (CORS) und Cross-Site-Scripting waren.

Bei der Analyse der mobilen Alexa-App fanden die Forscher einen SSL-Mechanismus, der Traffic Inspection verhindern sollte. Diese Funktion ließ sich jedoch mit dem Frida SSL Skript umgehen. Darüber wiederum stießen die Forscher auf eine falsch konfigurierte CORS-Richtlinie, die es erlaubte, Ajax-Anfragen über Amazon-Subdomains zu verschicken, die wiederum anfällig für Cross-Site-Scripting waren.

Ein Angreifer musste ein Opfer lediglich dazu verleiten, auf einen speziell gestalteten Link zu klicken, um die Schwachstellen auszunutzen. Die verlinkte Website – eine Subdomain von Amazon.com – schleuste dann Code ein und ermöglichte so den Diebstahl von Amazon-Cookies.

Die Cookies wiederum nutzten die Forscher für Ajax-Anfragen beim Amazon Skill Store. Diese Anfragen lieferten eine Liste der vom Opfer installierten Alexa Skills.

Hacker waren aber auch in der Lage, sich per Cross Site Request Forgery als das Opfer auszugeben, um beispielsweise Alexa Skills zu entfernen und durch andere Skills zu ersetzen, die durch die vorhandenen Sprachbefehle gesteuert wurden. Es war also möglich, einem Sprachbefehl ohne Wissen des Nutzers eine neue Aktion zuzuordnen.

Bei eigenen Tests hatten die Forscher unter anderem Zugriff auf Telefonnummern, Anschriften und Finanzdaten. “ Amazon zeichnet Ihre Bank-Login-Zugangsdaten nicht auf, aber Ihre Interaktionen werden aufgezeichnet, und da wir Zugriff auf den Chat-Verlauf hatten, konnten wir auf die Interaktion des Opfers mit dem Bank-Skill zugreifen und den Datenverlauf abrufen“, teilten die Forscher mit. „Wir konnten auch Benutzernamen und Telefonnummern erhalten, je nach den Skills, die auf dem Alexa-Konto des Benutzers installiert waren.“

Ihre Erkenntnisse übergaben die Forscher bereits im Juni an Amazon. Inzwischen wurden die Sicherheitsprobleme beseitigt. „Glücklicherweise reagierte Amazon schnell auf unsere Offenlegung, um diese Schwachstellen auf bestimmten Amazon/Alexa-Subdomänen zu schließen. Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen und ihre Produkte auf Schwachstellen überprüfen werden, die die Privatsphäre der Nutzer gefährden könnten.“

Amazon betonte indes, die Sicherheit seiner Geräte habe oberste Priorität. „Wir schätzen die Arbeit von unabhängigen Forschern wie Check Point, die uns potenzielle Probleme vorlegen“, sagte ein Amazon-Sprecher gegenüber ZDNet USA. „Wir haben dieses Problem behoben, kurz nachdem es uns zur Kenntnis gebracht wurde, und wir fahren fort, unsere Systeme weiter zu stärken. Uns sind keine Fälle bekannt, in denen diese Schwachstelle gegen unsere Kunden verwendet wurde oder in denen Kundeninformationen offengelegt wurden.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago