Über ein recht einfaches Verfahren konnten Forscher Alexa dazu bringen, sich selbst Befehle zu erteilen.

Alexas
© Karsten Neglia / Shutterstock.com

Immer wieder finden Sicherheitsexperten neue Schwächen bei Amazons Assistentin Alexa. Jetzt haben die Forscher Sergio Esposito, Daniele Sgandurra und Giampaolo Bella eine neue potenzielle Hacking-Methode aufgedeckt, die sie in ihrem Paper „Alexa versus Alexa“ nennen. Denn die Assistentin hackt sich demnach quasi selbst, wie t3n berichtet. Die Schwachstelle betrifft Echo-Geräte der dritten und vierten Generation.

Alexa-Hack via Sprachbefehl per Bluetooth

In der Studie hat das Team einfach ein Smartphone per Bluetooth via Sprachbefehl mit einem Echo-Lautsprecher verbunden. Danach könne der Nutzer innerhalb der Funkreichweite über eine Text-zu-Sprache-App mögliche Sprachbefehle über den Lautsprecher des Echo-Geräts ausgeben – die Assistentin hört sich selbst und folgt dann ihrem eigenen Befehl. Die Methode sei ein „neuartiger Angriff, der Audiodateien mit Sprachbefehlen und Audiowiedergabemethoden auf offensive Weise nutzt, um die Kontrolle über Amazon Echo-Geräte für längere Zeit zu erlangen“, heißt es in dem Bericht.

Hacker könnten smarte Geräte kontrollieren und Nutzer abhören

Die Gefahr: „Mit Alexa versus Alexa kann ein Angreifer selbst jeden zulässigen Befehl an Echo erteilen und ihn im Namen des legitimen Benutzers kontrollieren.“ Die Forscher konnten mit unterschiedlichem Erfolg so u. a. smarte Geräte im Haushalt kontrollieren, unerwünschte Artikel kaufen, verknüpfte Kalender manipulieren und sogar den jeweiligen Alexa-Benutzer belauschen. 

Amazon hat die Alexa-Sicherheitslücke behoben

Amazon hat sich laut t3n zu der Angriffsmethode bereits geäußert und die Fehlerquelle wohl beseitigt, wie es in einem Statement heißt: „Wir haben das von den Forscher:innen aufgezeigte Problem der Selbstaktivierung von Alexa Skills aus der Ferne behoben, das durch eine längere Stille aufgrund von „Break Tags“ verursacht wurde, wie die Forscher:innen gezeigt haben. Außerdem haben wir Systeme im Einsatz, um Live-Skills kontinuierlich auf potenziell böswilliges Verhalten zu überwachen, einschließlich stiller Interaktionen. Alle Skills, die wir als anstößig identifizieren, werden während der Zertifizierung blockiert oder schnell deaktiviert, und wir verbessern diese Mechanismen ständig, um unsere Kund:innen weiterhin zu schützen.“

Sie wollen immer über die neuesten Entwicklungen bei Amazon informiert sein? Mit unseren Newslettern erhalten Sie die wichtigsten Top-News und spannende Hintergründe direkt in Ihr E-Mail-Postfach – Jetzt abonnieren!
/ Geschrieben von Markus Gärtner




Kommentar schreiben

Sicherheitscode
Captcha aktualisieren