** Sicherheitslücken von Amazon Alexa gepatcht

Mich wundert der folgende Artikel nicht, denn die Smart-Home-DroneAssistentin mit Dauerverbindung ins Internet lauscht im Haushalt 24×7 auf Befehle und ist zwangsläufig dauervernetzt. Was vernetzt ist bzw. was draussen in der Cloud liegt, ist zwangsläufig anfälliger als rein lokal liegen Daten.

Kurzes Zitat:

Mit einem falschen Klick (Anm: z.B. in einer Phishing-Mail) drohte den Anwendern der Verlust zahlreicher persönlicher Daten oder sogar der Historie sämtlicher Sprachaufzeichnungen, also des persönlichen Stimmen-Profils. Außerdem konnten sie über Alexa ausspioniert werden. Bei einem erfolgreichen Angriff hätten die Hacker:

    • Zugriff auf die persönlichen Informationen eines Opfers, wie die Bankdaten, den Benutzernamen, Telefonnummern und Wohnadresse erhalten.
    • Zugriff auf sämtliche Sprachaufzeichnungen erhalten, die in Alexa als Historie hinterlegt werden.
    • die Möglichkeit zur unbemerkten Installation von Skills (Apps) auf dem Alexa-Konto eines Benutzers gehabt.
    • Einsicht in die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos erhalten.
    • Befugnis zur unbemerkten Installation oder Löschung von Applikationen bekommen.

Aus technischer Sicht gelang es den Forschern von Check Point zu zeigen, dass bestimmte Amazon- und Alexa-Subdomains anfällig für einfache Cross-Origin Ressource Sharing (CORS)-Fehlkonfigurationen und Cross Site Scripting (CSS) waren. Wegen der Verwendung von XSS waren die Forscher zudem in der Lage, das CSRF-Token abzufangen und Aktionen im Namen des Opfers durchzuführen.

Hinweis: Ja, die Sicherheitslücken wurden mittlerweile beschlossen; sie waren aber ggf. monate- oder jahrelang ausnutzbar.

Für alles weitere verweise ich auf den kompletten Blog-Artikel von Günter Born:

Amazons Alexa geknackt, zahlreiche Sicherheitslücken


Wie lautete noch gleich der neuzeitliche Stasi-Witz?

Jahr 1983: „Ich kann nicht offen über meine Gesundheit und Familienplanung reden, denn meine Wohnung ist vielleicht verwanzt!“
Jahr 2020: „Wanze, schreibe Schmerzmittel und einen Schwangerschaftstest auf die Einkaufsliste!“

🙂

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!