Bildrechte
Getty Images
Ein Fehler in den Alexa-Smart-Home-Geräten von Amazon hätte Hackern den Zugriff auf persönliche Informationen und den Gesprächsverlauf ermöglichen können, sagen Cyber-Sicherheitsforscher.
Angreifer können Apps auf einem Gerät installieren oder entfernen, ohne dass der Eigentümer dies weiß.
Der Hack "erforderte nur einen Klick auf einen Amazon-Link" wurde absichtlich vom Angreifer erstellt, heißt es.
Die Firma erzählte Amazon von dem Fehler, der jetzt behoben wurde.
Amazon sagte: "Die Sicherheit unserer Geräte hat höchste Priorität, und wir schätzen die Arbeit unabhängiger Forscher wie Check Point, die uns potenzielle Probleme bringen."
Es sei kein Fall bekannt, in dem ein schlechter Schauspieler die Sicherheitslücke genutzt habe, um seine Kunden anzusprechen.
Im Januar gab Amazon an, dass es weltweit "Hunderte Millionen" von Alexa-Geräten gibt.
Bösartige Fähigkeiten
Check Point sagte, der Hack erfordere die Erstellung eines böswilligen Amazon-Links, der an einen ahnungslosen Benutzer gesendet werde.
Sobald sie auf den Link geklickt haben, kann der Angreifer eine Liste aller installierten Alexa "Skills" – oder Apps – abrufen und einen Token stehlen, mit dem er Skills hinzufügen oder entfernen kann.
Eine Möglichkeit, den Fehler zu verwenden, besteht darin, eine Fertigkeit zu entfernen und dann eine böswillige zu installieren, die dieselbe "Aufrufphrase" verwendet – die Reihe gesprochener Wörter, mit denen sie ausgelöst wird. Dies hätte ohne Wissen des Benutzers erfolgen können.
Wenn der Benutzer das nächste Mal versuchte, diese Fertigkeit zu aktivieren, hätte er stattdessen die App des Angreifers ausgeführt.
- Amazon Echo "gehackt", um Benutzer auszuspionieren
- Amazon übernimmt Supermärkte mit kostenloser Lieferung von Lebensmitteln
Die Angreifer hätten Alexas Sprachverlauf sehen können – eine Aufzeichnung der Gespräche zwischen Benutzer und Gerät.
Check Point sagte, dies könne zu großen Problemen führen und wies auf Bankkenntnisse hin, mit denen der Benutzer seinen Kontostand überprüfen könne.
"Dies könnte dazu führen, dass persönliche Informationen wie der Verlauf von Bankdaten offengelegt werden", argumentierten sie – obwohl dadurch keine Anmeldedaten für Banken gespeichert werden.
Amazon lehnte diesen Vorschlag jedoch mit der Begründung ab, dass Bankinformationen – wie Guthaben – in der Aufzeichnung der Antworten von Alexa redigiert wurden, sodass nicht darauf zugegriffen werden konnte.
Der Angriff würde auch den Zugriff auf persönliche Informationen im Amazon-Profil ermöglichen, beispielsweise eine Privatadresse, sagte Check Point.
Amazon glaubte auch, dass der Einsatz einer geheimen böswilligen Fähigkeit weniger wahrscheinlich sei, als die Forscher von Check Point angedeutet hatten.
Es gab Systeme, die verhindern, dass böswillige Fähigkeiten jemals in den Alexa Skills Store gelangen – und dass Sicherheitsüberprüfungen Teil ihres Prozesses waren.
Schlecht verhaltene Apps seien ebenfalls routinemäßig deaktiviert worden.
"Ihr Screening-Prozess hätte wahrscheinlich die meisten schlechten Schauspieler erwischt – sie sind ziemlich gut darin und wissen, dass ihr Ruf auf dem Spiel steht", sagte der Cyber-Sicherheitsexperte der Universität von Surrey, Prof. Alan Woodward.
"Die Sache mit diesem Hack war, dass es an einer bekannten Sicherheitslücke lag. Es ist also überraschend, sie in Amazonas Nachlass zu sehen."
Er sagte, der Zugriff auf Sprachaufzeichnungen sei ein großes Problem, sei sich jedoch nicht sicher, ob andere Hacker von den Sicherheitslücken in bestimmten Subdomänen, die zum Starten des Angriffs verwendet wurden, hätten wissen können.
"Obwohl, wenn die Sicherheitsforscher es gefunden hätten, ich bin sicher, dass weniger gewissenhafte Leute das gleiche hätten tun können."