Amazon Alexa: Jeder kann zuhören

Eine Gruppe von Computerexperten der Firma Checkmarx („Hacker“ wäre hier falsch, weil nichts gehackt wurde), nutzte die Anpassungsmöglichkeiten des Internetmikrofonlautsprechers um ein Verhalten einzustellen, das wie der Beginn einen Horror-SciFi-Movies klingt: Die White Hats schrieben eine App (bei Amazon heisst das „Skill“) für Alexa, die das Gerät nach einer Benutzung weiterlaufen liess, ohne dass dies für die Besitzer erkennbar wäre. Die App lieferte dann Mitschriften von allem ab, was in Alexas Hörweite gesprochen wurde. Nachdem Checkmarx das Problem an Amazon gemeldet hatte, versprach der Hersteller, die Sicherheitslücke zu schliessen. Dann warten wir mal auf die nächste Meldung dieser Art. Smart Home Devices mit integriertem Mikrofon und von verschiedenen Herstellern gibt es heute ja zur Genüge. via wired, das pic zeigt das kleinste Alexa-fähige Amazon-Gerät beim Belauschen von Kindern und Haustieren.

2 Kommentare

  1. Das ist überhaupt keine Sicherheitslücke im klassischen Sinn, und auch kein Hack, weil eigentlich nur eine Art Babyfon auf dem Alexa Stack entwickelt wurde. Der Skandal ist, dass sowas als Taschenrechner-App den Leuten untergejubelt werden kann.
    Das ist im Android-Universum eigentlich identisch. Jede zweite Taschenlampen-App im Play Store will Berechtigungen für Kontakte, SMS, und Standortdaten.
    Ich bin kein Apple-Fanboy, aber bei Apple bekommt man als Entwickler ohne vorheriges Code-Review keine App in den Store soweit ich weiss.
    Bei Android und Alexa Apps (Skills) ist man weniger rigoros, und liefert die User den App-Entwicklern quasi aus. Man bekommt so schnell viele kostenlose Apps/Skills in den Store, und damit gewinnt man User. Alexa ist deswegen nicht unsicher, Android auch nicht, es sind die Policies in den App-Stores die das unsicher machen.

    Gefällt mir

    • Das ist wohl was klassischerweise „Trojaner“ heisst. Es gibt nach außen einen anderen Zweck vor, als es im verborgenen dann tatsächlich dient.

      Das ist generell ein Problem mit ungeprüfter, vor allem closed source Software. Man muss dem Herausgeber vertrauen, dass das Programm das, und nur das macht, was auch dokumentiert ist.

      Unlängst wurden Druckertreiber bekannt, die alle Texteingaben inklusive Passwörter auf Windows mitschrieben … das war wohl nicht beabsichtigt, aber es ist gruselig was für Seiteneffekte Software haben kann. Wer denkt sich schon, dass ein Druckertreiber alle Tastatureingaben abhört?

      Gefällt mir


Comments RSS TrackBack Identifier URI

Kommentar schreiben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.