Alexa-Schwachstelle ermöglicht Fernzugriff auf Echo-Geräte

+++ Update: Der Artikel wurde ursprünglich am 7. März 2022 veröffentlicht. Wir haben ihn am 8. März 2022 um ein Statement von Amazon ergänzt, das Sie am Ende des Artikels finden. +++

Amazons Sprachsteuerung Alexa dient eigentlich der Unterstützung im Haushalt: Mit kompatiblen Echo-Lautsprechern lassen sich Online-Einkäufe durchführen, Termine anlegen oder das gesamte Smart Home steuern - das alles via Sprachsteuerung. Diese Funktion lässt sich nun aber durch eine Sicherheitslücke ausnutzen, wie das Online-Magazin Ars Technica unter Berufung auf Sicherheitsforscher der Royal Holloway Universität in London und der italienischen Universität Catania berichtet.

Der "Alexa versus Alexa" getaufte Hack benötigt hierfür ein Bluetooth-fähiges Gerät, das mit dem anvisierten Echo-Lautsprecher gekoppelt wird und beispielsweise mit Text-to-Speech-Anwendungen Alexa dazu bringt, sich selber Befehle zu erteilen. Normalerweise wird durch die Stummschaltung des Echo-Gerätes verhindert, dass Alexa sich Anweisungen gibt - mit der "Full Volume Vulnerability" gibt es allerdings eine Sicherheitslücke, die dies aushebelt.

Mit der "Alexa versus Alexa"-Schwachstelle ist es den Forschern so unter anderem gelungen, illegitime Einkäufe auf Amazon über das Kundenkonto des Geschädigten durchzuführen, Telefonnummern anzurufen oder weitere Smart-Home-Geräte, die sich im gleichen Netzwerk wie der attackierte Amazon-Lautsprecher befinden, vollständig zu kontrollieren. So konnten beispielsweise smarte Türöffner umgangen und geöffnet werden.

Bisher ist noch nicht bekannt, ob die Alexa-Sicherheitslücke bereits aktiv ausgenutzt wird. Laut den Sicherheitsforschern sei es ratsam, das Mikrofon des jeweiligen Echo-Gerätes abzuschalten, um selbsterteilte Befehle unmöglich zu machen. Eine Software-seitige Behebung der Schwachstelle seitens Amazon steht noch aus.

Update 8. März 2022

Statement von Amazon

Amazon hat auf die Ergebnisse der Sicherheitsforscher reagiert und nach eigenen Angaben die Sicherheitslücke geschlossen, die das genannte Problem verursacht hat.

"Bei Amazon bilden Datenschutz und Datensicherheit die Grundlage für jedes Gerät, jede Funktion und jedes Erlebnis, das wir entwickeln und bereitstellen. Wir schätzen die Arbeit unabhängiger Forscher:innen im Bereich Sicherheit, die uns auf potenzielle Probleme aufmerksam machen, und arbeiten mit ihnen zusammen, um unsere Geräte zu schützen. Wir haben das von den Forscher:innen aufgezeigte Problem der Selbstaktivierung von Alexa Skills aus der Ferne behoben, das durch eine längere Stille aufgrund von „Break Tags“ (<br>) verursacht wurde, wie die Forscher:innen gezeigt haben. Außerdem haben wir Systeme im Einsatz, um Live-Skills kontinuierlich auf potenziell böswilliges Verhalten zu überwachen, einschließlich stiller Interaktionen. Alle Skills, die wir als anstößig identifizieren, werden während der Zertifizierung blockiert oder schnell deaktiviert, und wir verbessern diese Mechanismen ständig, um unsere Kund:innen weiterhin zu schützen."

Jenseits der beschriebenen Studie sei es nicht bekannt, dass die Technik angewendet wurde. Um die Selbstaktivierung auszulösen, müsse ein böswilliges Skill aktiviert sein und sich zudem ein böswilliger Akteur in unmittelbarer physischer Nähe des Geräts befinden, so Amazon. Über visuelle und akustische Signale könne eine Aktivierung des Echo-Gerätes außerdem erkannt werden und könne auch jederzeit über entsprechende Befehle abgebrochen werden.

Um sich zusätzlich zu schützen können Nutzer auch eine Sprach-PIN für sensible Aufgaben vergeben. So könne verhindert werden, dass Unbefugte Aktionen wie Einkäufe, Bankgeschäfte oder die Aktivierung von smarten Türschlössern durchführen.