Amazon Alexa: Forscher decken Sicherheitsrisiken bei Alexa Skills auf
Amazon Alexa ist eine der beliebtesten Sprachassistentinnen, einen Amazon Echo Dot mit ihr gibt es derzeit für 34,99 Euro bei Amazon. Mit den Alexa Skills genannten Erweiterungen wird die Assistentin noch smarter. Eine deutsch-amerikanische Forschergruppe von der Ruhr Universität Bochum und der North Carolina State University hat 90.194 Alexa Skills untersucht. Dabei haben sie viele Probleme bei der Sprachassistentin von Amazon gefunden. Beispielsweise ließ sich nur zu etwas mehr als 24 Prozent der Skills eine Datenschutzerklärung finden. Besonders schlecht standen dabei die 1887 untersuchten Anwendungen für Kinder da, von denen hatte nur rund jede Achte eine Datenschutzerklärung.
Das Alexa neue Skills von sich aus aktiviert, ist normalerweise ehr praktisch. Die Forscher sehen darin jedoch ein Sicherheitsproblem, denn man kann sich nicht sicher sein, welchen Skill Alexa jetzt gerade aktiviert hat. Einige Funktionen benutzen den gleichen Aufruf. Unter diesen Voraussetzungen wirken die weiteren gefundenen Sicherheitsmängel noch bedenklicher.
Weil Amazon keine Automatismen verwendet, um Markenrechtsverstöße zu erkennen, können böswillige Entwickler sich unter einem beliebigen Firmennamen bei Amazon Registrieren und ihre Alexa Skills veröffentlichen. So könnte sich ein Hacker hinter einem bekannten Markennamen verstecken und das Vertrauen des Anwenders missbrauchen. Zum Beispiel lassen sich über Account-Verlinkung persönliche Daten abgreifen. Dies zeigten die ForscherInnen, indem sie einen Alexa Skill als "Ring" bei Amazon einschleusen konnten.
Nachdem der Backend-Server der Forscherinnen einmalig von Amazon überprüft wurde, konnte dieser auch so verändern werden, dass nach persönlichen Daten wie der Telefonnummer gefragt wurde. Die Antworten auf solche Fragen können dann gesammelt und ausgewertet werden. Solche Fragen sind der Sprachassistentin eigentlich verboten.
Auch hat sich gezeigt, dass Alexa Skills anscheinend Angaben wie Name, Standort oder E-Mail-Adresse unter Umständen ohne Anwenderbestätigung abrufen können. Dafür hat Amazon eigentlich eine API eingerichtet, mit der die Erlaubnis des Kunden eingeholt werden soll, die Daten zu verwenden.
Insgesamt sind die Datenschutzprobleme bei Alexa recht umfangreich und auch die Sicherheitslücken könnten sich als problematisch erweisen. Bisher hat man bei Amazon jedoch noch nicht auf die Veröffentlichung der Forschergruppe reagiert. So bleibt es dem Kunden überlassen, seine aktivierten Alexa Skills eventuell einmal genau zu betrachten.