t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalAktuelles

Nach einfacher Manipulation | So hört Amazons Alexa heimlich mit


Nach einfacher Manipulation
So hört Amazons Alexa heimlich mit

26.04.2018Lesedauer: 2 Min.
Amazons Echo Dot: Alexa kann heimlich zuhören und mitschreibenVergrößern des Bildes
Amazons Echo Dot: Alexa kann heimlich zuhören und mitschreiben (Quelle: imago-images-bilder)
News folgen

Sicherheitsforscher haben nach eigenen Angaben einen einfachen Trick gefunden, mit dem Amazons Alexa laufend heimlich seine Benutzer abhört. Sie liefert sogar eine Mitschrift der Gespräche.

Die Forscher der IT-Sicherheitsfirma "Checkmarx" waren in der Lage, eine Alexa-Fertigkeiten ("Skill") so zu programmieren, dass sie Benutzer belauschen konnte. Dies klappt mit einem Amazon-Sprachcomputer vor Ort, aber nicht mit beliebigen Alexas aus der Ferne.

Amit Ashbel, Cyber Security Evangelist bei Checkmarx erklärte "zdnet.com", dass dazu eine Alexa-Fertigkeit genutzt wurden, die eigentlich Rechenaufgaben lösen soll und Mitschriften von allem, was in Hörweite des Geräts gesagt wurde, an seinen Programmierer schickt.

Dieser Alexa-Dienst ist so konzipiert, dass er nur dann vollständig wach ist und zuhört, wenn der Benutzer das Gerät zum Zuhören auffordert.

Eine Lücke im System steht offen

"Wir wollten sehen, ob wir sie dazu bringen können, die ganze Zeit zuzuhören und sensible Daten zu übertragen", sagte Erez Yalon, Leiter der Anwendungssicherheitsforschung.

Die Lücke im System: Sobald Alexa eine Aufgabe ausgeführt hat, führt ihr Programm die Abfrage "ShouldEndSession" durch, um festzustellen, ob die Sitzung geöffnet oder geschlossen bleibt, wodurch Alexa für eine weitere Sitzung aktiv bleiben kann. Um für eine weitere Sitzung aktiv zu bleiben, sendet Alexa dem Benutzer eine Sprach-Aufforderung, die ihn darüber informiert, dass sie noch aktiv ist.

So bleibt der Warnhinweis ungehört

Die Forscher fanden jedoch heraus, dass Alexas Programmierschnittstelle einen "leeren" Befehl akzeptiert, so dass die Sprachausgabe stumm bleibt.

Das bedeutet, dass Alexa glaubt, dem Benutzer gesagt zu haben, dass das Gerät immer noch lauscht, aber dem Benutzer nicht bewusst ist, dass dies der Fall ist. "Wir bekommen eine endlose Sitzung ohne Antwort an den Benutzer", so Yalon.

Benutzer belauschen – ohne Zeitlimit

Das bietet die Möglichkeit, den Benutzer auf unbestimmte Zeit zu belauschen. Die IT-Forscher fügten sogar zusätzliche Anweisungen hinzu, mit denen sie das Gerät anwiesen, alle Wörter, die von Benutzern gesprochen wurden, zu transkribieren. Diese Mitschriften werden gesammelt und können gezielt durchsucht werden - zum Beispiel nach Passwörtern oder Kontoinformationen.

"Sie denken, dass die Sitzung vorbei ist, aber eigentlich geht sie die ganze Zeit weiter, nimmt Ihre Worte auf und sendet Ihre Transkription an Hacker. Es gibt keine Begrenzung für die Dauer der Sitzung, die Anzahl der Wörter oder Sätze, es geht einfach weiter, bis man es ausschaltet", sagte Yalon. Er betonte, dass dazu nichts verändert werden musste, sondern nur das fehlerhafte Design des Systems benutzt wurde.

Amazon schließt Sicherheitslücke

Checkmarx gab die Ergebnisse an Amazon weiter, die Sicherheitslücke wurde daraufhin geschlossen. "Kundenvertrauen ist uns wichtig und wir nehmen Sicherheit und Datenschutz ernst", sagte ein Sprecher laut "zdnet.com".

Verwendete Quellen
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



TelekomCo2 Neutrale Website