"Alexa, hack dich selbst": Forscher nutzen Voice-Schwachstelle aus

Sicherheitsforschern ist es gelungen, fremde Amazon Echo-Laut­spre­cher dazu zu bringen, Türen zu entriegeln, Einkäufe zu tä­ti­gen und smar­te Geräte fernzusteuern. Der Exploit wird "Ale­xa vs. Ale­xa" oder kurz AvA genannt, denn der Angriff wird mit ei­ner zwei­ten Ale­xa ausgeführt. Angreifer können in dem Szenario Amazon Echo-Geräte dazu zwingen, sich selbst mit selbst erteilten Befehlen zu hacken: Denn eine Schwachstelle erlaubte es, dass Alexa Befehle ausführte, die ihr von einer weiteren "Alexa"-Stimme eingegeben wurden. Diese wurde in den meisten Fällen als vertrauenswürdig eingestuft und so dann auch zur Ausführung gebracht. Entdeckt hatten das Sicherheitsforscher der Royal Holloway University in London und der italienischen Universität Catania.

Sie entwickelten einen funktionierenden Exploit, der Amazon Echo-Lautsprecher in seine Gewalt bringt und sie dazu zwingt, Türen zu entriegeln, Telefonanrufe und unbefugte Einkäufe zu tätigen sowie Öfen, Mikrowellenherde und andere intelligente Geräte zu steuern.


Der Angriff funktioniert über den Lautsprecher des Geräts, um Sprachbefehle zu erteilen. Solange die Sprache das Weckwort des Geräts (in der Regel "Alexa" oder "Echo") gefolgt von einem zulässigen Befehl enthält, führt der Echo diesen aus. Selbst wenn Geräte vor der Ausführung sensibler Befehle eine mündliche Bestätigung verlangen, ließ sich das einfach mit einem "Ja" bestätigen. Die Schwachstelle wurde als Full Voice Vulnerability bezeichnet, die es Angreifern ermöglicht, über Echo-Geräte selbst erteilte Befehle auszuführen.

Alexa, hack dich selbst

Da der Hack die Alexa-Funktionalität nutzt, um Geräte zu zwingen, von sich aus Befehle zu erteilen, haben die Forscher ihn "AvA" genannt, kurz für Alexa vs. Alexa. Ein Angreifer muss sich nur wenige Sekunden in der Nähe eines eingeschalteten anfälligen Geräts aufhalten, um einen Sprachbefehl zu geben, der das Gerät anweist, sich mit dem Bluetooth-fähigen Gerät des Angreifers zu verbinden. Solange sich das Gerät in Funkreichweite des Echos befindet, kann der Angreifer Befehle erteilen.

"Der Angriff ist der erste, der die Schwachstelle ausnutzt, die es einem Angreifer ermöglicht, beliebige Befehle auf Echo-Geräten zu erteilen und diese über einen längeren Zeitraum zu kontrollieren", schreiben die Forscher in einem vor Kurzem veröffentlichten Papier.

Dieser Angriff ist so wie in der Studie gezeigten Weise nicht mehr möglich, nachdem Amazon als Reaktion auf die Forschungsergebnisse bereits einen Sicherheits-Patch veröffentlichte. Die Forscher hatten zuvor bestätigt, dass die Angriffe gegen Echo Dot-Geräte der 3. und 4. Generation funktionieren. Siehe auch: Amazon, Echo, Amazon Echo, Echo Dot, AmazonBasics, AmazonBasic, Echo Dot 3, Amazon Basic, Amazon Produkt, Amazon Echo Dot, Echo Dot Grau Amazon, Echo, Amazon Echo, Echo Dot, AmazonBasics, AmazonBasic, Echo Dot 3, Amazon Basic, Amazon Produkt, Amazon Echo Dot, Echo Dot Grau
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!