ALERT: Böswillige Amazon Alexa-Skills können den Überprüfungsprozess leicht umgehen

  • Forscher haben Lücken in Amazons Skill-Überprüfungsprozess für das Alexa-Sprachassistenten-Ökosystem aufgedeckt, die es einem böswilligen Akteur ermöglichen könnten, einen betrügerischen Skill unter einem beliebigen Entwicklernamen zu veröffentlichen und sogar Backend-Code-Änderungen nach der Genehmigung vorzunehmen, um Benutzer zur Preisgabe sensibler Informationen zu verleiten.

    Die Ergebnisse wurden am Mittwoch auf der Konferenz Network and Distributed System Security Symposium (NDSS) von einer Gruppe von Wissenschaftlern der Ruhr-Universität Bochum und der North Carolina State University vorgestellt, die 90.194 Skills analysiert haben, die in sieben Ländern verfügbar sind, darunter die USA, das Vereinigte Königreich, Australien, Kanada, Deutschland, Japan und Frankreich.

    Amazon Alexa ermöglicht es Entwicklern von Drittanbietern, zusätzliche Funktionen für Geräte wie Echo-Smart-Lautsprecher zu erstellen, indem sie “Skills” konfigurieren, die auf dem Sprachassistenten laufen und es den Benutzern so leicht machen, eine Unterhaltung mit dem Skill zu beginnen und eine bestimmte Aufgabe zu erledigen.

    Zu den wichtigsten Erkenntnissen gehört die Sorge, dass ein Benutzer einen falschen Skill aktivieren kann, was schwerwiegende Folgen haben kann, wenn der Skill, der ausgelöst wird, mit heimtückischer Absicht entworfen wurde.

    Der Fallstrick ergibt sich aus der Tatsache, dass mehrere Fertigkeiten die gleiche Aufrufphrase haben können.

    In der Tat ist diese Praxis so weit verbreitet, dass bei der Untersuchung 9.948 Fertigkeiten entdeckt wurden, die denselben Aufrufnamen mit mindestens einer anderen Fertigkeit allein im US-Speicher teilen. In allen sieben Fertigkeitsspeichern hatten nur 36.055 Fertigkeiten einen eindeutigen Aufforderungsnamen.

    [Blocked Image: https://thehackernews.com/images/-Eky2clW4BIo/YDi2PAxyNRI/AAAAAAAAB40/dGmQlzouJ4c95W803fOmj4Nr_V0xl0HvwCLcBGAsYHQ/s728-e1000/amazon-skills.jpg]

    Da die tatsächlichen Kriterien, die Amazon verwendet, um einen bestimmten Skill unter mehreren Skills mit denselben Aufrufnamen automatisch zu aktivieren, unbekannt bleiben, warnen die Forscher, dass es möglich ist, den falschen Skill zu aktivieren und dass ein Angreifer mit der Veröffentlichung von Skills mit bekannten Firmennamen davonkommen kann.

    “Dies geschieht vor allem deshalb, weil Amazon derzeit keinen automatisierten Ansatz zur Erkennung von Verstößen bei der Verwendung von Marken Dritter einsetzt und auf eine manuelle Überprüfung angewiesen ist, um solche böswilligen Versuche abzufangen, die anfällig für menschliche Fehler sind”, erklärten die Forscher. “Infolgedessen können Benutzer Phishing-Angriffen ausgesetzt werden, die von einem Angreifer gestartet werden.”

    Noch schlimmer ist, dass ein Angreifer Code-Änderungen vornehmen kann, nachdem er die Zustimmung eines Skills erhalten hat, um einen Benutzer dazu zu überreden, sensible Informationen wie Telefonnummern und Adressen preiszugeben, indem er eine schlafende Absicht auslöst.

    In gewisser Weise ist dies analog zu einer Technik namens Versionierung, die zur Umgehung von Verifizierungsschutzmaßnahmen verwendet wird. Beim Versioning wird eine harmlose Version einer App im Android- oder iOS-App-Store eingereicht, um das Vertrauen der Benutzer zu gewinnen, nur um die Codebasis im Laufe der Zeit durch zusätzliche bösartige Funktionen zu ersetzen, die zu einem späteren Zeitpunkt durch Updates hinzugefügt werden.

    Um dies zu testen, erstellten die Forscher einen Reiseplaner-Skill, der es einem Benutzer ermöglicht, eine Reiseroute zu erstellen. Dieser Skill wurde nach der anfänglichen Überprüfung dahingehend optimiert, dass er “den Benutzer nach seiner Telefonnummer fragt, damit der Skill die Reiseroute direkt per SMS verschicken kann”, wodurch der Benutzer dazu verleitet wird, seine persönlichen Daten preiszugeben.

    [Blocked Image: https://thehackernews.com/images/-arjZOaMwiac/YDi3T3p06MI/AAAAAAAAB5E/RdmAkXG9yG83tNAiN6eFmY2lptFSo_bHQCLcBGAsYHQ/s728-e1000/amazon-skills.jpg]

    Des Weiteren wurde in der Studie festgestellt, dass das Berechtigungsmodell, das Amazon zum Schutz sensibler Alexa-Daten verwendet, umgangen werden kann. Dies bedeutet, dass ein Angreifer direkt Daten (z. B. Telefonnummern, Amazon Pay-Details usw.) vom Benutzer abfragen kann, die ursprünglich durch Berechtigungs-APIs abgesperrt werden sollten.

    Die Idee ist, dass Skills, die sensible Daten anfordern, zwar die Berechtigungs-APIs aufrufen müssen, dies aber einen bösartigen Entwickler nicht davon abhält, diese Informationen direkt vom Benutzer anzufordern.

    Die Forscher sagten, dass sie 358 solcher Skills identifiziert haben, die in der Lage sind, Informationen anzufordern, die idealerweise durch die API gesichert sein sollten.

    [Blocked Image: https://thehackernews.com/images/-UuIIQ72FQk4/YDi2xKzYU5I/AAAAAAAAB48/IgMsRk3AP281jepu3wk_K6l4EjbxXpb0gCLcBGAsYHQ/s728-e1000/amazon-skills.jpg]

    Schließlich wurde bei einer Analyse der Datenschutzrichtlinien über verschiedene Kategorien hinweg festgestellt, dass nur 24,2 % aller Skills einen Link zu den Datenschutzrichtlinien bereitstellen und dass etwa 23,3 % dieser Skills die Datentypen, die mit den angeforderten Berechtigungen verbunden sind, nicht vollständig offenlegen.

    Die Studie stellt fest, dass Amazon keine Datenschutzrichtlinien für Skills vorschreibt, die sich an Kinder unter 13 Jahren richten, und äußerte Bedenken über das Fehlen von weithin verfügbaren Datenschutzrichtlinien in den Kategorien “Kinder” und “Gesundheit und Fitness”.

    “Als Verfechter des Datenschutzes sind wir der Meinung, dass sowohl “Kinder”- als auch “Gesundheit”-bezogene Skills in Bezug auf den Datenschutz an höhere Standards gehalten werden sollten”, sagten die Forscher, während sie Amazon aufforderten, Entwickler zu validieren und wiederkehrende Backend-Prüfungen durchzuführen, um solche Risiken zu mindern.

    “Während solche Anwendungen die Interaktion der Nutzer mit intelligenten Geräten erleichtern und eine Reihe von zusätzlichen Diensten unterstützen, werfen sie aufgrund des persönlichen Umfelds, in dem sie betrieben werden, auch Sicherheits- und Datenschutzbedenken auf”, fügten sie hinzu.

    Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com