Amazon schließt Sicherheitslücke bei Alexa
13. August 2020Der US-Onlinehandelsriese Amazon hat eine potenziell gefährliche Sicherheitslücke im Sprachassistenzsystem Alexa und den dazugehörigen vernetzten Lautsprechern geschlossen. Die Schwachstelle hatte die auf IT-Sicherheit spezialisierte Firma Check Point entdeckt.
"Mit nur einem falschen Klick drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen", teilte das israelische Unternehmen mit, das die Schwachstellen in seinem Labor im kalifornischen San Carlos gefunden hatte. Außerdem hätten die Nutzer über Alexa ausspioniert werden können.
Ein Amazon-Sprecher bestätigte die Angaben von Check Point und betonte, dass die Fehler inzwischen behoben seien. Man werde die Systeme weiterhin stärken. Amazon habe keine Kenntnis über Fälle, in denen die Lücke tatsächlich ausgenutzt wurde, um unbefugt an Kundendaten zu kommen, hieß es.
Produkte anderer Hersteller ebenfalls gefährdet
Die Schwachstellen befanden sich nach Angaben von Check Point nicht auf den Lautsprechern selbst, sondern in der Online-Infrastruktur von Amazon. So hätten Hacker bestimmte Internet-Domains von Amazon und Alexa mit sogenanntem "Cross Site Scripting" angreifen können. Zudem sei es möglich gewesen, Autorisierungsschlüssel ("CSRF-Token") abzufangen und damit Aktionen im Namen des Opfers auszuführen.
Amazon habe schnell auf die Offenlegung reagiert, um diese Schwachstellen zu schließen, erklärte Check Point. "Wir hoffen, dass die Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen werden und ihre Produkte auf Schwachstellen überprüfen, welche die Privatsphäre der Benutzer gefährden könnten." Ähnlich Sicherheitsforschung habe man bereits bezüglich Tiktok, WhatsApp und Fortnite durchgeführt und "alarmierende Ergebnisse" erhalten. Welche Schwachstellen dies genau waren, teilte das Unternehmen nicht mit.
ie/ml (dpa, afp)