Wenn Sie Amazon Alexa verwenden, sollten Sie möglicherweise Ihre Konten sichern

20160817_chkp_graphic

Anmerkung des Herausgebers: Wenn Sie Amazon Alexa verwenden, hat Check Point Software darauf hingewiesen, dass in bestimmten Amazon Alexa-Subdomains Sicherheitslücken bestehen. Möglicherweise möchten Sie Ihr Konto überprüfen. Klicken Sie wie gewohnt niemals auf böswillige Links, die an Sie gesendet wurden, auch wenn diese von einem scheinbar bekannten Kontakt als legitim angesehen werden (da Kontakte gehackt werden könnten). Die Pressemitteilung des Anbieters finden Sie weiter unten.


Alexa schlecht machen: Check Point Research findet Schwachstellen in bestimmten Amazon Alexa-Subdomains

Forscher zeigen, wie Hacker Fähigkeiten auf dem Alexa-Konto eines Opfers entfernen / installieren, auf Sprachverläufe und persönliche Informationen zugreifen können

SINGAPUR, @mcgallen #microwireinfo, 14. August 2020 - Check Point Research, der Threat Intelligence-Arm von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, hat kürzlich Sicherheitslücken in bestimmten Amazon / Alexa-Subdomains identifiziert, die es einem Hacker ermöglicht hätten, Fähigkeiten auf dem Alexa-Konto des Zielopfers zu entfernen / zu installieren, auf dessen Sprachverlauf und persönliche Daten zuzugreifen . Der Angriff erforderte einen einzigen Klick des Benutzers auf einen vom Hacker erstellten böswilligen Link und eine Sprachinteraktion des Opfers. Mit über 200 Millionen verkauften Exemplaren weltweit ist Alexa in der Lage, Sprachinteraktionen durchzuführen, Warnungen einzustellen, Musik wiederzugeben und intelligente Geräte in einem Hausautomationssystem zu steuern. Benutzer können die Funktionen von Alexa erweitern, indem sie "Fähigkeiten" installieren. Das sind sprachgesteuerte Apps. Die in den Alexa-Konten der Benutzer gespeicherten persönlichen Informationen und die Verwendung des Geräts als Controller für die Hausautomation machen sie jedoch zu einem attraktiven Ziel für Hacker.

Check Point-Forscher haben gezeigt, wie die in bestimmten Amazon / Alexa-Subdomains gefundenen Sicherheitslücken von einem Hacker ausgenutzt werden können, der einen böswilligen Link erstellt und an einen Zielbenutzer sendet, der anscheinend von Amazon stammt. Wenn der Benutzer auf den Link klickt, kann der Angreifer:

  • Greifen Sie auf die persönlichen Daten eines Opfers zu, z. B. Bankdatenverlauf, Benutzernamen, Telefonnummern und Privatadresse
  • Extrahieren Sie die Stimmgeschichte eines Opfers mit seiner Alexa
  • Installieren Sie unbeaufsichtigt Fähigkeiten (Apps) auf dem Alexa-Konto eines Benutzers
  • Zeigen Sie die gesamte Skill-Liste des Kontos eines Alexa-Benutzers an
  • Entfernen Sie stillschweigend eine installierte Fertigkeit

„Intelligente Lautsprecher und virtuelle Assistenten sind so alltäglich, dass leicht übersehen werden kann, wie viele persönliche Daten sie enthalten und welche Rolle sie bei der Steuerung anderer intelligenter Geräte in unseren Häusern spielen. Hacker sehen sie jedoch als Einstiegspunkte in das Leben der Menschen und bieten ihnen die Möglichkeit, auf Daten zuzugreifen, Gespräche zu belauschen oder andere böswillige Aktionen durchzuführen, ohne dass der Eigentümer davon Kenntnis hat “, sagte Oded Vanunu, Leiter der Abteilung für Produktanfälligkeitsforschung bei Check Point. „Wir haben diese Untersuchung durchgeführt, um herauszufinden, wie wichtig die Sicherung dieser Geräte für die Wahrung der Privatsphäre der Benutzer ist. Zum Glück hat Amazon schnell auf unsere Offenlegung reagiert, um diese Sicherheitslücken in bestimmten Amazon / Alexa-Subdomains zu schließen. Wir hoffen, dass Hersteller ähnlicher Geräte dem Beispiel von Amazon folgen und ihre Produkte auf Schwachstellen überprüfen, die die Privatsphäre der Benutzer gefährden könnten. Zuvor haben wir Tiktok, WhatsApp und Fortnite untersucht. Alexa beschäftigt uns seit einiger Zeit mit seiner Allgegenwart und Verbindung zu IoT-Geräten. Es sind diese digitalen Mega-Plattformen, die uns am meisten schaden können. Daher ist ihr Sicherheitsniveau von entscheidender Bedeutung. “

Amazon hat dieses Problem behoben, kurz nachdem es gemeldet wurde.

Weitere Informationen zu den Sicherheitsanfälligkeiten und ein Video, das zeigt, wie sie ausgenutzt werden könnten, finden Sie unter https://research.checkpoint.com

Über Check Point Research
Check Point Research bietet Check Point Software-Kunden und der größeren Intelligence-Community führende Informationen zu Cyber-Bedrohungen. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf ThreatCloud gespeichert sind, um Hacker in Schach zu halten und sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzfunktionen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.

Folgen Sie Check Point Research über:

Informationen zu Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen weltweit. Die Lösungen von Check Point schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und fortschrittlichen gezielten Bedrohungen. Check Point bietet eine mehrstufige Sicherheitsarchitektur, "Infinity Total Protection mit fortschrittlicher Bedrohungsprävention der Generation V". Diese kombinierte Produktarchitektur schützt die Cloud, das Netzwerk und die mobilen Geräte eines Unternehmens. Check Point bietet das umfassendste und intuitivste Sicherheitsmanagementsystem mit einem Kontrollpunkt. Check Point schützt über 100,000 Organisationen aller Größen.

###