Mich wundert der folgende Artikel nicht, denn die Smart-Home-DroneAssistentin mit Dauerverbindung ins Internet lauscht im Haushalt 24×7 auf Befehle und ist zwangsläufig dauervernetzt. Was vernetzt ist bzw. was draussen in der Cloud liegt, ist zwangsläufig anfälliger als rein lokal liegen Daten.
Kurzes Zitat:
Mit einem falschen Klick (Anm: z.B. in einer Phishing-Mail) drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils. Außerdem konnten sie über Alexa ausspioniert werden. Bei einem erfolgreichen Angriff hätten die Hacker:
-
- Zugriff auf die persönlichen Informationen eines Opfers, wie die Bankdaten, den Benutzernamen, Telefonnummern und Wohnadresse erhalten.
- Zugriff auf sämtliche Sprachaufzeichnungen erhalten, die in Alexa als Historie hinterlegt werden.
- die Möglichkeit zur unbemerkten Installation von Skills (Apps) auf dem Alexa-Konto eines Benutzers gehabt.
- Einsicht in die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos erhalten.
- Befugnis zur unbemerkten Installation oder Löschung von Applikationen bekommen.
Aus technischer Sicht gelang es den Forschern von Check Point zu zeigen, dass bestimmte Amazon- und Alexa-Subdomains anfällig für einfache Cross-Origin Ressource Sharing (CORS)-Fehlkonfigurationen und Cross Site Scripting (CSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen.
Hinweis: Ja, die Sicherheitslücken wurden mittlerweile beschlossen; sie waren aber ggf. monate- oder jahrelang ausnutzbar.
Für alles weitere verweise ich auf den kompletten Blog-Artikel von Günter Born:
Wie lautete noch gleich der neuzeitliche Stasi-Witz?
Jahr 1983: „Ich kann nicht offen über meine Gesundheit und Familienplanung reden, denn meine Wohnung ist vielleicht verwanzt!“
Jahr 2020: „Wanze, schreibe Schmerzmittel und einen Schwangerschaftstest auf die Einkaufsliste!“
🙂
