Sicherheitsrisiken bei Alexa Skills

Posted 1. März 2021

Amazon unterzieht die Zusatzfunktionen für seine Sprachassistenten zwar einem Sicherheitscheck. Doch der kann von Betrügern nachträglich umgangen werden – nur eins von mehreren Problemen. Mit den Sprachbefehlen „Alexa Skills“ können User zahlreiche Extrafunktionen auf ihren Amazon-Sprachassistenten laden. Doch die bergen oftmals Sicherheitslücken und Datenschutzprobleme. Das wies ein Forschungsteam des Horst-Görtz-Instituts für IT-Sicherheit der RUB und der North Carolina State University nach. User können neue Skills direkt aus einem von Amazon betriebenen Store herunterladen. Nicht nur Amazon selbst stellt sie dort ein, sondern auch viele externe Anbieter. In der Studie analysierte das Team um die RUB-Forscher Christopher Lentzsch und Dr. Martin Degeling 90.194 Skills und fand gleiche mehrere Schwachstellen. Einige Beispiele: „Wir konnten nachweisen, dass Skills unter falschem Namen veröffentlicht werden können. So stellen beispielsweise bekannte Automobilkonzerne für ihre smarten Systeme Sprachbefehle zur Verfügung. User laden diese im Glauben herunter, dass die Skills direkt vom Unternehmen stammen. Doch das ist nicht immer der Fall“, so Martin Degeling. Zwar prüfe Amazon in einem Zertifizierungsverfahren alle angebotenen Skills. Doch dieses sogenannte Skill Squatting, also das Übernehmen von schon vorhandenen Anbieternamen und -funktionen, falle oftmals nicht auf. „In einem Versuch haben wir selbst Skills im Namen eines großen Unternehmens veröffentlichen können. Hier können durchaus wertvolle Informationen von Nutzern abgegriffen werden“, erklärt der Forscher. „Wir konnten außerdem feststellen, dass die Skills von den Anbietern im Nachhinein geändert werden können“, sagt Christopher Lentzsch vom Lehrstuhl für Informations- und Technikmanagement. Diese Lücke relativiert die Sicherheit des vorherigen Zertifizierungsprozesses durch Amazon. „Angreifer*innen könnten ihren Sprachbefehl nach einiger Zeit so umprogrammieren, dass sie beispielsweise nach den Kreditkartendaten der User fragen“, so Lentzsch weiter. In der Prüfung von Amazon fallen solche Aufforderungen in der Regel auf und werden nicht zugelassen – durch den Trick der nachträglichen Änderung des Programms kann diese Kontrolle umgangen werden.