{"id":275379,"date":"2021-02-24T17:00:59","date_gmt":"2021-02-24T16:00:59","guid":{"rendered":"http:\/\/innovationorigins.com\/?p=275379"},"modified":"2021-02-24T17:00:59","modified_gmt":"2021-02-24T16:00:59","slug":"forschungsteam-findet-sicherheitsrisiken-bei-alexa-skills","status":"publish","type":"post","link":"https:\/\/ioplus.nl\/archive\/de\/forschungsteam-findet-sicherheitsrisiken-bei-alexa-skills\/","title":{"rendered":"Forschungsteam findet Sicherheitsrisiken bei Alexa Skills"},"content":{"rendered":"\n

Mit den Sprachbefehlen “Alexa Skills” k\u00f6nnen User zahlreiche Extrafunktionen auf ihren Amazon-Sprachassistenten laden. Doch die bringen nicht nur Vorteile mit sich, sondern bergen oftmals Sicherheitsl\u00fccken und Datenschutzprobleme. Das wies ein Forschungsteam des Horst-G\u00f6rtz-Instituts f\u00fcr IT-Sicherheit der Ruhr-Universit\u00e4t Bochum<\/a> (RUB) und der North Carolina State University nach. Ihre Arbeit pr\u00e4sentierten sie auf der Konferenz “Network and Distributed System Security Symposium (NDSS)” am 24. Februar 2021.<\/p>\n\n\n\n

In ihrer Studie haben die Wissenschaftler um Christopher Lentzsch und Dr. Martin Degeling, laut Pressebericht der RUB, erstmalig das \u00d6kosystem der Alexa Skills untersucht. Diese Sprachbefehle werden nicht nur vom US-amerikanischen Tech-Unternehmen Amazon selbst, sondern auch von externen Anbietern entwickelt. User k\u00f6nnen sie direkt \u00fcber einen von Amazon betriebenen Store herunterladen, teilweise werden sie auch automatisch von Amazon aktiviert. Aus den Stores in sieben L\u00e4ndern erhielten die Forscher insgesamt 90.194 Skills und analysierten diese.<\/p>\n\n\n\n

Signifikante M\u00e4ngel<\/h3>\n\n\n\n

Dabei stellten sie signifikante M\u00e4ngel f\u00fcr eine sichere Nutzung fest. “Ein erstes Problem besteht darin, dass Amazon die Skills seit 2017 teilweise automatisch aktiviert. Fr\u00fcher mussten User der Nutzung jedes Skills zustimmen. Nun haben sie kaum mehr einen \u00dcberblick dar\u00fcber, woher die Antwort kommt, die Alexa ihnen gibt, und wer diese \u00fcberhaupt programmiert hat”, erkl\u00e4rt Dr. Martin Degeling vom Lehrstuhl f\u00fcr Systemsicherheit der RUB. Dabei sei leider h\u00e4ufig unklar, wann welcher Skill angesteuert werde. Wer Alexa zum Beispiel um ein Kompliment bittet, kann eine Antwort von 31 verschiedenen Anbietern bekommen. Welcher daf\u00fcr automatisch ausgew\u00e4hlt wird, ist nicht direkt nachvollziehbar. Dabei k\u00f6nnen Daten, die f\u00fcr die technische Umsetzung der Befehle ben\u00f6tigt werden, ungewollt an externe Anbieter weitergeleitet werden.<\/p>\n\n\n\n

“Wir konnten au\u00dferdem nachweisen, dass Skills unter falschem Namen ver\u00f6ffentlicht werden k\u00f6nnen. So stellen beispielsweise bekannte Automobilkonzerne f\u00fcr ihre smarten Systeme Sprachbefehle zur Verf\u00fcgung. User laden diese im Glauben herunter, dass die Skills direkt vom Unternehmen stammen. Doch das ist nicht immer der Fall”, so Martin Degeling. Zwar pr\u00fcfe Amazon in einem Zertifizierungsverfahren alle angebotenen Skills. Doch dieses sogenannte Skill Squatting, also das \u00dcbernehmen von schon vorhandenen Anbieternamen und -funktionen, falle oftmals nicht auf.<\/p>\n\n\n\n

Phishing auch \u00fcber Sprachassistenten<\/h3>\n\n\n\n

“In einem Versuch haben wir selbst Skills im Namen eines gro\u00dfen Unternehmens ver\u00f6ffentlichen k\u00f6nnen. Hier k\u00f6nnen durchaus wertvolle Informationen von Nutzer*innen abgegriffen werden”, erkl\u00e4rt der Forscher. Wenn also ein Automobilanbieter f\u00fcr sein Smart-System im Auto beispielsweise noch keinen Skill entwickelt hat, um die Musik im Auto lauter oder leiser zu machen, k\u00f6nnten Angreiferinnen und Angreifer dies unter seinem Namen tun. “Sie k\u00f6nnen das Vertrauen der User in den bekannten Namen und in Amazon ausnutzen, um pers\u00f6nliche Informationen wie Standortdaten oder Nutzerverhalten abzugreifen”, so Degeling. Kriminelle k\u00f6nnen aber nicht direkt verschl\u00fcsselte Daten abgreifen oder Befehle in b\u00f6sartiger Absicht ver\u00e4ndern, um das smarte Auto zu manipulieren, beispielsweise um die Autot\u00fcren zu \u00f6ffnen. In Zukunft m\u00fcssen Nutzerinnen und Nutzer aber damit rechnen, dass es Angriffe \u00e4hnlich dem E-Mail-Phishing auch \u00fcber Sprachassistenten geben wird.<\/p>\n\n\n\n

Mangelhafte Datenschutzerkl\u00e4rungen<\/h3>\n\n\n\n

Zus\u00e4tzlich zu diesen Sicherheitsrisiken wies das Forscherteam au\u00dferdem erhebliche M\u00e4ngel in den Allgemeinen Datenschutzerkl\u00e4rungen der angebotenen Skills nach. So haben nur 24,2 Prozent der Skills \u00fcberhaupt eine sogenannte Privacy Policy, in den besonders sensiblen Bereichen “Kids” und “Gesundheit und Fitness” sogar noch weniger. “Gerade hier sollte es starke Nachbesserungen geben”, so Degeling.<\/p>\n\n\n\n

Amazon hat einige der Probleme gegen\u00fcber dem Forscherteam best\u00e4tigt und arbeitet nach eigenen Angaben an Gegenma\u00dfnahmen.<\/p>\n\n\n\n

Originalver\u00f6ffentlichung:\u00a0https:\/\/www.alexa-skill-analysis.org\/#paper<\/a><\/strong><\/p>\n\n\n\n

Technische Details und die wissenschaftliche Originalarbeit stellen die Forscher auf der Website\u00a0www.alexa-skill-analysis.org<\/a>\u00a0zur Verf\u00fcgung.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

Mit den Sprachbefehlen “Alexa Skills” k\u00f6nnen User zahlreiche Extrafunktionen auf ihren Amazon-Sprachassistenten laden. Doch die bringen nicht nur Vorteile mit sich, sondern bergen oftmals Sicherheitsl\u00fccken und Datenschutzprobleme. Das wies ein Forschungsteam des Horst-G\u00f6rtz-Instituts f\u00fcr IT-Sicherheit der Ruhr-Universit\u00e4t Bochum (RUB) und der North Carolina State University nach. Ihre Arbeit pr\u00e4sentierten sie auf der Konferenz “Network and […]<\/p>\n","protected":false},"author":1760,"featured_media":524351,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"advgb_blocks_editor_width":"","advgb_blocks_columns_visual_guide":"","footnotes":""},"categories":[36843],"tags":[90493,109972,109975,109978],"location":[24328],"article_type":[],"serie":[],"archives":[],"internal_archives":[],"reboot-archive":[],"class_list":["post-275379","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital-de-de","tag-alexa-de-de","tag-amazon-de","tag-phishing-de","tag-sprachassistenten-de","location-deutschland"],"blocksy_meta":[],"acf":{"subtitle":"Amazon unterzieht die Zusatzfunktionen f\u00fcr seine Sprachassistenten zwar einem Sicherheitscheck. Doch der kann von Betr\u00fcgern nachtr\u00e4glich umgangen werden.","text_display_homepage":false},"author_meta":{"display_name":"Arnoud Cornelissen","author_link":"https:\/\/ioplus.nl\/archive\/author\/arnoud-cornelissen\/"},"featured_img":"https:\/\/ioplus.nl\/archive\/wp-content\/uploads\/2021\/02\/Schermafbeelding-2021-02-24-om-13.21.56-300x199.png","coauthors":[],"tax_additional":{"categories":{"linked":["Digital<\/a>"],"unlinked":["Digital<\/span>"]},"tags":{"linked":["Alexa<\/a>","amazon<\/a>","phishing<\/a>","sprachassistenten<\/a>"],"unlinked":["Alexa<\/span>","amazon<\/span>","phishing<\/span>","sprachassistenten<\/span>"]}},"comment_count":"0","relative_dates":{"created":"Posted 5 years ago","modified":"Updated 5 years ago"},"absolute_dates":{"created":"Posted on February 24, 2021","modified":"Updated on February 24, 2021"},"absolute_dates_time":{"created":"Posted on February 24, 2021 5:00 pm","modified":"Updated on February 24, 2021 5:00 pm"},"featured_img_caption":"","series_order":"","_links":{"self":[{"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/posts\/275379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/users\/1760"}],"replies":[{"embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/comments?post=275379"}],"version-history":[{"count":0,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/posts\/275379\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/media\/524351"}],"wp:attachment":[{"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/media?parent=275379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/categories?post=275379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/tags?post=275379"},{"taxonomy":"location","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/location?post=275379"},{"taxonomy":"article_type","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/article_type?post=275379"},{"taxonomy":"serie","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/serie?post=275379"},{"taxonomy":"archives","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/archives?post=275379"},{"taxonomy":"internal_archives","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/internal_archives?post=275379"},{"taxonomy":"reboot-archive","embeddable":true,"href":"https:\/\/ioplus.nl\/archive\/wp-json\/wp\/v2\/reboot-archive?post=275379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}