![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Sicherheitsforscher von Check Point Research Amazons Alexa geknackt und gravierende Sicherheitsl\u00fccken entdeckt. Diese wurden umgehend an Amazon gemeldet und mittlerweile geschlossen. Bis dahin aber konnte jeder Nutzer zum Opfer eines Hacker-Angriffes werden \u2013 ohne es zu merken. Sensible Daten, wie die Historie aller Sprachaufzeichnungen, k\u00f6nnten bereits gestohlen worden sein.<\/p>\n
<\/p>\n
Es ist eine h\u00e4ufiger hier im Blog ge\u00e4u\u00dferte Meinung: 'Leute, lasst die Finger von IoT-Ger\u00e4ten und vor allem von intelligenten Lautsprechern wie Amazons Alexa, denn das ist sicherheitstechnisch ein Alptraum'. Scheint eine selbsterf\u00fcllende Prophezeiung gewesen zu sein, denn der Alptraum ist wahrgeworden.<\/p>\n
\u00dcber 200 Millionen Alexa-Ger\u00e4te<\/a> verschiffte Versand-Riese Amazon bereits in Haushalte auf der ganzen Welt. Mittels Spracheingabe k\u00f6nnen die Nutzer andere Smart-Home-Ger\u00e4te steuern, Musik abspielen, Fernsehen und Produkte aus dem Online-Versandhaus sofort ordern. Ein Aspekt ist aber, dass die Sprachassistenten ggf. ungewollt ansprechen und alle Sprache in der Umgebung mitschneiden und an Amazon & Co. \u00fcbertragen. Ich hatte hier im Blog ja diverse Beitr\u00e4ge, in denen vor diesem Szenario gewarnt wurde.<\/p>\n Bundestags-Gutachten warnt Eltern vor Amazons Alexa<\/a> Ein Datenschutzalptraum. K\u00fcrzlich wies mich jemand bei administrator.de auf diesen Post<\/a> hin und bat mich, dieser Frage nachzugehen. Die TU-Darmstadt entwickelt ein Anti-Spy-Tool, um Sprachassistenten wie Amazons Alexa das unbemerkte Mithorchen abzugew\u00f6hnen. Inzwischen habe ich gesehen, dass heise das Thema in diesem Artikel aufgegriffen<\/a> haben. Ist alles nicht praxisreif – und ich sag es mal so: Wer vor so etwas Manschetten hat, sollte sich schlicht kein Alexa & Co. ins Haus holen.<\/p>\n Wegen dieser dauerhaften Anbindung aber an das Internet und der Vernetzung mit weiteren Ger\u00e4ten im Haushalt, sind Amazons Alexa-Ger\u00e4te zudem ein interessantes Einfallstor f\u00fcr Hacker. Sicherheitsforscher von Check Point vermuteten, dass da noch was geht und begannen zu forschen. Nach wenigen Versuchen best\u00e4tigte sich nun: Amazons Sprach-Assistent kann ein sehr gef\u00e4hrliches Einfallstor f\u00fcr Angreifer sein. Die Experten fanden bei genauerer Betrachtung<\/a> des Smart-Home-Devices Amazon Alexa diverse Schwachstellen, die von Angreifern ins Visier genommen werden k\u00f6nnen.<\/p>\n Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher pers\u00f6nlicher Daten oder sogar der Historie s\u00e4mtlicher Sprachaufzeichnungen, also des pers\u00f6nlichen Stimmen-Profils. Au\u00dferdem konnten sie \u00fcber Alexa ausspioniert werden. Bei einem erfolgreichen Angriff h\u00e4tten die Hacker:<\/p>\n Aus technischer Sicht gelang es den Forschers von Check Point zu zeigen, dass bestimmte Amazon- und Alexa-Subdomains anf\u00e4llig f\u00fcr einfache Cross-Origin Ressource Sharing (CORS)-Fehlkonfigurationen und Cross Site Scripting (CSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuf\u00fchren.<\/p>\n So h\u00e4tten diese Exploits es einem Angreifer erm\u00f6glichen k\u00f6nnen, Skills (externe Zusatzfunktionen) auf dem Alexa-Konto eines Opfers zu entfernen oder zu installieren, auf dessen Stimmverlauf zuzugreifen und pers\u00f6nliche Informationen \u00fcber die Interaktionen des Benutzers mit einzelnen Programmen zu stehlen. Ein Angriff h\u00e4tte nur einen einzigen Klick auf einen vermeintlichen Amazon-Link erfordert, der vom Angreifer erstellt wurde, um erfolgreich zu sein.<\/p>\n Besonders der Zugriff Sprach-Historie h\u00e4tte Hackern wertvolle und intime Informationen \u00fcber den Benutzer in die H\u00e4nde spielen k\u00f6nnen, sowie das Tor f\u00fcr weitere Social Engineering Angriffe \u00fcber Vishing<\/a> \u00f6ffnen k\u00f6nnen.<\/p>\n (Quelle: YouTube<\/a>)<\/p>\n Check Point informierte Amazon \u00fcber die Ergebnisse und die Schwachstellen auf den Subdomains. Sie wurden entsprechend geschlossen. Bis dahin aber, kann ein Nutzer zum Opfer eines solchen Angriffes geworden sein. Ablaufen h\u00e4tte ein Angriff folgenderma\u00dfen k\u00f6nnen:<\/p>\n \u201eIntelligente Lautsprecher und virtuelle Assistenten sind so allt\u00e4glich, dass man leicht \u00fcbersieht, wie viele pers\u00f6nliche Daten sie sammeln und welche Rolle sie bei der Steuerung anderer intelligenter Ger\u00e4te in unseren Wohnungen spielen\", erkl\u00e4rt Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point: \u201eHacker erkennen sie dagegen als Einstiegspunkte in das h\u00e4usliche Leben der Menschen und missbrauchen sie, um auf intime Daten zuzugreifen, Gespr\u00e4che zu belauschen oder andere b\u00f6swillige Aktionen durchzuf\u00fchren. Der Besitzer merkt davon nichts. Wir haben diese Untersuchung durchgef\u00fchrt, um zu zeigen, wie wichtig die zuverl\u00e4ssige Absicherung dieser Ger\u00e4te ist, um die Privatsph\u00e4re der Benutzer zu wahren. Amazon reagierte schnell auf unsere Offenlegung, um diese Schwachstellen auf bestimmten Amazon- und Alexa-Subdom\u00e4nen zu schlie\u00dfen. Wir hoffen, dass die Hersteller \u00e4hnlicher Ger\u00e4te dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen \u00fcberpr\u00fcfen, welche die Privatsph\u00e4re der Benutzer gef\u00e4hrden k\u00f6nnten. \u00c4hnlich Sicherheitsforschung haben wir bereits bez\u00fcglich Tiktok, WhatsApp und Fortnite durchgef\u00fchrt und alarmierende Ergebnisse erhalten. Alexa allerdings hat uns aufgrund seiner Allgegenwart und seiner Verbindung zu anderen IoT-Ger\u00e4ten in der Wohnung schon seit einiger Zeit Sorgen bereitet. Es sind diese riesigen, digitalen Plattformen, die uns Menschen am meisten schaden k\u00f6nnen. Daher ist der Grad deren Sicherheit von entscheidender Bedeutung.\"<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Sicherheitsforscher von Check Point Research Amazons Alexa geknackt und gravierende Sicherheitsl\u00fccken entdeckt. Diese wurden umgehend an Amazon gemeldet und mittlerweile geschlossen. Bis dahin aber konnte jeder Nutzer zum Opfer eines Hacker-Angriffes werden \u2013 ohne es zu merken. Sensible Daten, wie … Weiterlesen
\nWarnung der Verbraucherzentrale vor Amazons Alexa<\/a>
\nAmazons Alexa-Aufzeichnungen werden nicht gel\u00f6scht<\/a>
\nmazon verschickt unkontrolliert Alexa-Sprachaufzeichnungen<\/a><\/p>\nAmazons Alexa hackbar<\/h2>\n
Ein falscher Klick reicht<\/h3>\n
\n
Skills installierbar, Sprachverlauf abgreifbar<\/h3>\n
Schwachstellen geschlossen<\/h2>\n
\n