Veröffentlicht inDigital Life

Alexa-Skills können zur Gefahr werden: Sicherheitslücken aufgedeckt

Nicht alle Alexa-Skills sind offenbar vertrauenswürdig. Sicherheitsforschende untersuchten mehr als 90.000 Sprachbefehle und entdeckten Risiken.

Amazon Alexa.
Manche Alexa-Skills weisen Sicherheitslücken auf. Foto: IMAGO / ZUMA Press

Alexa-Skills bieten dir zahlreiche Extrafunktionen. Du kannst sie kinderleicht auf deinen Amazon-Sprachassistenten laden und so etwa spontan Wissenslücken füllen oder einen Tagesplan aufstellen. Doch offenbar können einige Sprachbefehle gefährlich werden. In einer Studie wurden zahlreiche Mängel aufgezeigt.

Keine Panik auf der Titanic: Diese Alexa-Befehle versüßen dir den Tag

Keine Panik auf der Titanic: Diese Alexa-Befehle versüßen dir den Tag

Alexa kann nicht nur dein Smarthome steuern, sondern dich auch mit ihren Aussagen belustigen. Wir zeigen dir ihre besten Sprüche.

Alexa-Skills: Hier gibt es Probleme

Wissenschaftler um Christopher Lentzsch und Dr. Martin Degeling untersuchten 90.194 Alexa-Skills in ihrer Studie, die aus dem von Amazon betriebenen Stores heruntergeladen werden können. Sie stammen aus sieben Ländern und wurden nicht von Amazon selbst zur Verfügung gestellt, sondern wurden von externen Anbietern entwickelt. Bei ihrer Untersuchung stellten die Forschenden laut einer Pressemitteilung der Ruhr-Universität Bochum (RUB) „signifikante Mängel für eine sichere Nutzung“ fest.

„Ein erstes Problem besteht darin, dass Amazon die Skills seit 2017 teilweise automatisch aktiviert. Früher mussten User der Nutzung jedes Skills zustimmen. Nun haben sie kaum mehr einen Überblick darüber, woher die Antwort kommt, die Alexa ihnen gibt, und wer diese überhaupt programmiert hat“, so Dr. Martin Degeling vom Lehrstuhl für Systemsicherheit der RUB.

Es sei außerdem in vielen Fällen nicht klar, welcher Alexa-Skill angesteuert werde. Wird der Sprachassistent beispielsweise um ein Kompliment gebeten, so kann eine Antwort von 31 verschiedenen Anbietern kommen, welche dafür automatisch ausgewählt wird. Die Auswahl sei dabei nicht direkt nachvollziehbar. Allerdings könnten Daten ungewollt an externe Anbieter weitergeleitet werden.

Alexa-Skills: Falscher Name, späte Änderungen

In der Untersuchung stellten die Forschenden fest, dass Alexa-Skills unter falschem Namen veröffentlicht werden und sensible Daten von Nutzerinnen und Nutzern abgreifen können. Beispielsweise könnte jemand den bekannten Namen eines Automobilkonzerns nutzen ohne aufzufallen. Problematisch ist das aus folgendem Grund:

„Sie können das Vertrauen der User in den bekannten Namen und in Amazon ausnutzen, um persönliche Informationen wie Standortdaten oder Nutzerverhalten abzugreifen“, erklärt Dr. Martin Degeling.

Zudem sei gefährlich, dass Alexa-Skills von Anbietern im Nachhinein geändert werden können. „Angreifer*innen könnten ihren Sprachbefehl nach einiger Zeit so umprogrammieren, dass sie beispielsweise nach den Kreditkartendaten der User fragen“, so Chrisopher Lentzsch vom Lehrstuhl für Informations- und Technikmanagement an der RUB.

Das sagt Amazon zu der Studie

Laut Pressemitteilung der RUB bestätigte Amazon gegenüber des Forscherteams einige der Probleme mit den Alexa-Skills. Das Unternehmen arbeite wohl an Gegenmaßnahmen.

Tatsächlich kannst du deinem Amazon Echo ganz neue Funktionen verleihen, indem du selbst Alexa-Skills programmierst. Ende 2020 wurden die beliebtesten Alexa-Skillsveröffentlicht.

Du willst mehr von uns lesen? Folge uns auf Google News.