Schwerpunkte

Alexa Skills birgt Security-Risiken

Alexas Antwort kommt nicht von Alexa

01. März 2021, 10:32 Uhr   |  Autorin: Selina Doulah


Fortsetzung des Artikels von Teil 1 .

So können Angreifer die Amazon-Kontrolle umgehen

Die Forscher machten noch ein anderes Sicherheitsrisiko aus: "Wir konnten feststellen, dass die Skills von den Anbietern im Nachhinein noch geändert werden können", erklärt Christopher Lentzsch vom Lehrstuhl für Informations- und Technikmanagement der RUB. Diese Lücke relativiert also auch die Sicherheit des vorherigen Zertifizierungsprozesses durch Amazon. "Angreifende könnten ihren Sprachbefehl nach einiger Zeit so umprogrammieren, dass sie beispielsweise nach den Kreditkartendaten der User fragen", so Lentzsch weiter. In der Prüfung von Amazon fallen solche Aufforderungen in der Regel auf und werden nicht zugelassen – durch den Trick der nachträglichen Änderung des Programms kann diese Kontrolle umgangen werden.

Datenschutzerklärungen fehlen zum Teil

Zusätzlich zu diesen Sicherheitsrisiken wies das Forscherteam außerdem erhebliche Mängel in den Allgemeinen Datenschutzerklärungen der angebotenen Skills nach. So hätten nur 24,2 Prozent der Skills überhaupt eine sogenannte Privacy Policy, in den besonders sensiblen Bereichen "Kids" und "Gesundheit und Fitness" sogar noch weniger. "Gerade hier sollte es starke Nachbesserungen geben", meint Degeling.

Zuerst erschienen auf ict-channel.com.

Seite 2 von 2

1. Alexas Antwort kommt nicht von Alexa
2. So können Angreifer die Amazon-Kontrolle umgehen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

Amazon Web Services