Anzeige
Anzeige
menu
Anzeige
Aktuelles

Sprachassistenten

Forscher finden Sicherheitsrisiken bei Alexa Skills

Bild: Amazon

25.02.2021 - Mit den Sprachbefehlen "Alexa Skills" können User zahlreiche Extrafunktionen auf ihren Amazon-Sprachassistenten laden. Doch die bringen nicht nur Vorteile mit sich, sondern bergen oftmals Sicherheitslücken und Datenschutzprobleme.

von Dominik Grollmann

In einer Studie der Ruhr-Universität Bochum   (RUB) und der North Carolina State University   haben Wissenschaftler erstmalig das Ökosystem der Alexa Skills untersucht. Diese Sprachbefehle werden nicht nur vom US-amerikanischen Tech-Unternehmen Amazon   selbst, sondern auch von externen Anbietern entwickelt. User können sie direkt über einen von Amazon betriebenen Store herunterladen, teilweise werden sie auch automatisch von Amazon aktiviert. Aus den Stores in sieben Ländern erhielten die Forscher insgesamt 90.194 Skills und analysierten diese.

Dabei stellten sie signifikante Mängel für eine sichere Nutzung fest. "Ein erstes Problem besteht darin, dass Amazon die Skills seit 2017 teilweise automatisch aktiviert. Früher mussten User der Nutzung jedes Skills zustimmen. Nun haben sie kaum mehr einen Überblick darüber, woher die Antwort kommt, die Alexa ihnen gibt, und wer diese überhaupt programmiert hat", erklärt Martin Degeling vom Lehrstuhl für Systemsicherheit der RUB. Dabei sei leider häufig unklar, wann welcher Skill angesteuert werde. Wer Alexa zum Beispiel um ein Kompliment bittet, kann eine Antwort von 31 verschiedenen Anbietern bekommen; welcher dafür automatisch ausgewählt wird, ist nicht direkt nachvollziehbar. Dabei können Daten, die für die technische Umsetzung der Befehle benötigt werden, ungewollt an externe Anbieter weitergeleitet werden.

Neue Skills unter falschem Namen einstellen

"Wir konnten außerdem nachweisen, dass Skills unter falschem Namen veröffentlicht werden können. So stellen beispielsweise bekannte Automobilkonzerne für ihre smarten Systeme Sprachbefehle zur Verfügung. User laden diese im Glauben herunter, dass die Skills direkt vom Unternehmen stammen. Doch das ist nicht immer der Fall", so Martin Degeling. Zwar prüfe Amazon in einem Zertifizierungsverfahren alle angebotenen Skills. Doch dieses sogenannte Skill Squatting, also das Übernehmen von schon vorhandenen Anbieternamen und -funktionen, falle oftmals nicht auf.

Die Forscher machten noch ein anderes Sicherheitsrisiko aus: "Wir konnten feststellen, dass die Skills von den Anbietern im Nachhinein noch geändert werden können", erklärt Christopher Lentzsch vom Lehrstuhl für Informations- und Technikmanagement der RUB. Diese Lücke relativiert also auch die Sicherheit des vorherigen Zertifizierungsprozesses durch Amazon. "Angreifer könnten ihren Sprachbefehl nach einiger Zeit so umprogrammieren, dass sie beispielsweise nach den Kreditkartendaten der User fragen", so Lentzsch weiter. In der Prüfung von Amazon fallen solche Aufforderungen in der Regel auf und werden nicht zugelassen - durch den Trick der nachträglichen Änderung des Programms kann diese Kontrolle umgangen werden.

Mangelhafte Datenschutzerklärungen

Zusätzlich zu diesen Sicherheitsrisiken wies das Forscherteam außerdem erhebliche Mängel in den Allgemeinen Datenschutzerklärungen der angebotenen Skills nach. So haben nur 24,2 Prozent der Skills überhaupt eine sogenannte Privacy Policy, in den besonders sensiblen Bereichen "Kids" und "Gesundheit und Fitness" sogar noch weniger.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Diskussion:

Kommentar hinzufügen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vorträge zum Thema:

  • Bild: Thilo Kerner
    Thilo Kerner (Sybit GmbH)

    Wie Sie ein wirklich sinnvolles Management-Dashboard für Marketing und Vertrieb aufsetzen

    Wie definieren Sie die wirklich wichtigen KPIs für Marketing und Vertrieb? Und wie steuern Sie dann mit diesen Ihre Marktbearbeitung erfolgreich? Thilo Kerner, Chief Revenue Officer der Sybit GmbH zeigt an Beispielen aus der konkreten Vertriebs- und Marketingpraxis, wie ein wirklich nützliches Marketing-Dashboard aussehen muss und wie Sie kennzahlengesteuertes Management im Unternehmen aufsetzen. Außerdem liefert er Tipps und Strategien, um KPIs effektiv im Geschäftsalltag Ihres Unternehmens zu integrieren.

    Vortrag im Rahmen der Daten & KI 2024. Künstliche Intelligenz, Datengestütztes Marketing und Vertrieb am 14.05.24, 10:00 Uhr

Anzeige

eBakery

Die eCommerce Agentur für Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit über 25 Jahren unterschiedlichste Marketing- und Kommunikationslösungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

MKM media - Selfmailer.com

Selfmailer.com ist spezialisiert auf personalisierte, individuelle Printprodukte und zählt mit seiner modernen und aufwändigen Maschinen- und Personalisierungstechnik in Deutschland zu den führenden Dienstleistern im Bereich Adressierung, Versionalis…

SDV Medien+Service GmbH

Die SDV Medien+Service GmbH ist zusammen mit den Tochterunternehmen SDV Direct World GmbH und SDV Winter GmbH ein Full-Service-Dienstleister für Dialogmedien und Informationslogistik. SDV beschäftigt in Dresden, Weidenberg und Bamberg insgesamt run…

Schober Information Group Deutschland GmbH

Die Schober Information Group Deutschland GmbH berät und unterstützt Kunden strategisch mit On- und Offline-Lösungen sowie bei der systematischen Umsetzung von crossmedialen Kommunikations-, Werbe- und Verkaufsstrategien.

real media technic STAUDACHER GmbH

Grafik/ Fotografie/ Video, Software-Spezialanwendungen/ -dienstleistungen, Datenbanksysteme, Media-/Vermarktungsleistungen, Marketing, Direkt-Marketing (Kreation / Konzeption), Handelsmarketing

Business Data Solutions GmbH & Co. KG

Wir revolutionieren Daten- und Lead Management durch fortschrittliche Datenanalysen und KI-gestützte Technologien. Unsere Expertise in Big Data von über 10 Mio. Domains ermöglicht präzise, auf Machine Learning basierende Lösungen für spitze Leads, ei…

Deutsche Post Adress GmbH & Co.KG

Die Deutsche Post Adress ist der in Deutschland führende Anbieter von Lösungen zur Adressaktualisierung und -recherche. Das Gemeinschaftsunternehmen der Deutschen Post und Bertelsmann bietet zahlreiche Produkte und Services, mit denen Unternehmen ihr…

gkk dialogGroup GmbH

Wir glauben daran: nichts begeistert mehr als gute Dialoge. Begeisterung ist der Antrieb von allem - und begeisternde Dialoge sind die Grundlage für Fortschritt. Als führende Customer Experience Management - Agentur Deutschlands gestalten wir die Zuk…

panadress marketing intellignce GmbH

panadress marketing intelligence gehört zu den führenden Marketing-Data-Providern in Deutschland. Wir unterstützen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu stärken und weiter auszubauen. Mit der Pow…
Anzeige
Anzeige
www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.versandhausberater.de

Wichtige Links:

Impressum

AGB

Datenschutz

Mediadaten