Jump to navigation

Logo RUB
  • Energiesparen
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

  • Christopher Lentzsch analysierte mit seinen Kollegen die Sicherheit von Extrafunktionen für Amazons Sprachassistenten Alexa.
    © RUB, Marquard
  • Christopher Lentzsch forscht am Lehrstuhl für Informations- und Technikmanagement der Ruhr-Universität Bochum.
    © RUB, Marquard
  /  
IT-Sicherheit

Datenschutzprobleme und Sicherheitsrisiken bei Alexa Skills

Amazon unterzieht die Zusatzfunktionen für seine Sprachassistenten zwar einem Sicherheitscheck. Doch der kann von Betrügern nachträglich umgangen werden – nur eins von mehreren Problemen.

Mit den Sprachbefehlen „Alexa Skills“ können User zahlreiche Extrafunktionen auf ihren Amazon-Sprachassistenten laden. Doch die bergen oftmals Sicherheitslücken und Datenschutzprobleme. Das wies ein Forschungsteam des Horst-Görtz-Instituts für IT-Sicherheit der RUB und der North Carolina State University nach. Ihre Arbeit präsentieren die Forscher auf der Konferenz „Network and Distributed System Security Symposium (NDSS)“ am 24. Februar 2021 und veröffentlichten sie im Internet.

Über 90.000 Skills analysiert

User können neue Skills direkt aus einem von Amazon betriebenen Store herunterladen. Nicht nur Amazon selbst stellt sie dort ein, sondern auch viele externe Anbieter. In der Studie analysierte das Team um die RUB-Forscher Christopher Lentzsch und Dr. Martin Degeling 90.194 Skills und fand gleiche mehrere Schwachstellen.

„Wir konnten nachweisen, dass Skills unter falschem Namen veröffentlicht werden können. So stellen beispielsweise bekannte Automobilkonzerne für ihre smarten Systeme Sprachbefehle zur Verfügung. User laden diese im Glauben herunter, dass die Skills direkt vom Unternehmen stammen. Doch das ist nicht immer der Fall“, so Martin Degeling. Zwar prüfe Amazon in einem Zertifizierungsverfahren alle angebotenen Skills. Doch dieses sogenannte Skill Squatting, also das Übernehmen von schon vorhandenen Anbieternamen und -funktionen, falle oftmals nicht auf. „In einem Versuch haben wir selbst Skills im Namen eines großen Unternehmens veröffentlichen können. Hier können durchaus wertvolle Informationen von Nutzer*innen abgegriffen werden“, erklärt der Forscher.

Amazon-Kontrolle umgehen

„Wir konnten außerdem feststellen, dass die Skills von den Anbietern im Nachhinein geändert werden können“, sagt Christopher Lentzsch vom Lehrstuhl für Informations- und Technikmanagement. Diese Lücke relativiert die Sicherheit des vorherigen Zertifizierungsprozesses durch Amazon. „Angreifer*innen könnten ihren Sprachbefehl nach einiger Zeit so umprogrammieren, dass sie beispielsweise nach den Kreditkartendaten der User fragen“, so Lentzsch weiter. In der Prüfung von Amazon fallen solche Aufforderungen in der Regel auf und werden nicht zugelassen – durch den Trick der nachträglichen Änderung des Programms kann diese Kontrolle umgangen werden.

Skills werden teils automatisch aktiviert

Ein weiteres Problem besteht darin, dass Amazon die Skills seit 2017 teilweise automatisch aktiviert. Früher mussten User der Nutzung jedes Skills zustimmen. Nun haben sie kaum mehr einen Überblick darüber, woher die Antwort kommt, die der Sprachassistent ihnen gibt. Wer Alexa zum Beispiel um ein Kompliment bittet, kann eine Antwort von 31 verschiedenen Anbietern bekommen; welcher dafür automatisch ausgewählt wird, ist nicht direkt nachvollziehbar. Dabei können Daten, die für die technische Umsetzung der Befehle benötigt werden, ungewollt an externe Anbieter weitergeleitet werden.

Zusätzlich zu diesen Sicherheitsrisiken wies das Forscherteam außerdem erhebliche Mängel in den Allgemeinen Datenschutzerklärungen der angebotenen Skills nach.

Amazon hat einige der Probleme gegenüber dem Forscherteam bestätigt und arbeitet nach eigenen Angaben an Gegenmaßnahmen.

Angeklickt
  • Ausführliche Presseinformation
Veröffentlicht
Mittwoch
24. Februar 2021
09.30 Uhr
Von
Julia Weiler (jwe)
Christina Scholten (HGI)
Share
Teilen
Das könnte Sie auch interessieren
Eine ältere Person läuft mit einem Gehstock über die Straße. Sie ist von hinten zu sehen.
Forschungsprojekt

Mobil im Alter dank KI

Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Mann lehnt an Wand
Datensicherheit

Die verräterische Null

Derzeit beliebt
Belgacem Derbal steht hinter dem Tresen der Cafeteria und blickt freundlich in die Kamera.
Ruhestand

Jimmy macht Feierabend

Richtfest mit Richtspruch am Forschungsbau THINK, im Vordergrund steht das Publikum.
Think

Neuer Raum für Neurowissenschaften in Bochum

Daniel Gutzmann
Germanistik

Daniel Gutzmann ist Spezialist für expressive Sprache

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt