Smarte Geräte im Haushalt sind im Jahr 2022 keine Neuheit mehr. Schon seit Jahren erobern Geräte mit eingebauten Sprachassistenten die Wohnungen auch hier in Europa. Allen voran steht Alexa, der smarte Assistent von Amazon. Wer das Gerät im Funktionsumfang erweitern will, kann dafür Zusatzprogramme installieren, sogenannte „Skills“. Dass hinter so einem Skill auch kriminelle Energie stecken kann, scheinen die wenigsten zu wissen.
Zu diesem Schluss jedenfalls kamen Forschende des Horst-Görlitz-Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum (RUB) und der North Carolina State University (NC State). Sie untersuchten dafür zehntausende Skills und deckten grobe Sicherheitsmängel auf. So stammen längst nicht alle Skills von Amazon selbst, sondern von Drittanbietern. Ob diese versteckte Funktionen in ihre Programme eingebaut haben, ist für Nutzer überhaupt nicht ersichtlich. Zwar muss jeder Skill vor seiner Veröffentlichung einen Zertifizierungsprozess bei Amazon durchlaufen. Sobald dieser einmal bestanden ist, kümmert es Amazon allerdings nicht, ob der Code nachträglich geändert wird. Theoretisch ist es also möglich, einen legitimen Skill auf Alexa anzubieten und ihn anschließend mit schadhaftem Code auszustatten.
Viele Alexa Skills ohne Datenschutzerklärung
Ein weiteres Problem ist, dass der eigentliche Hersteller eines Skills für Endnutzer oft gar nicht ersichtlich ist. Bei Geräten wie Alexa oder auch in smarten Automobilen erwecken Zusatzprogramme oft den Eindruck, sie würden vom Hersteller des Gerätes selber stammen. Diese Unsicherheit wird noch verschlimmert, weil Amazon viele solcher Programme automatisch aktiviert – ohne den Endnutzer vorher gefragt zu haben. Das war nicht immer so. Noch bis 2017 galt für Skills üblicherweise, dass Nutzer erst ihre Zustimmung geben müssen.
In Anbetracht der Forschungsergebnisse erscheint es mehr als fragwürdig, dass Amazon die Sicherheit von Endnutzern sogar noch verringert, anstatt sie zu stärken. Weiterhin konnte gerade einmal ein knappes Viertel der untersuchten Skills eine Datenschutzerklärung aufweisen – kein gutes Bild für Programme, die auf einem Mikrofon laufen. Ob somit Daten abgegriffen werden und bei Drittanbietern landen, ist so für normale Verbraucher gar nicht ersichtlich. Wir raten deshalb, beim Installieren und der Nutzung von Zusatzprogrammen lieber zweimal auf den angegebenen Funktionsumfang zu blicken und im Zweifelsfall nur Skills mit einer Datenschutzerklärung zu installieren.
Hast Du auch Alexa daheim? Wie hältst Du es mit Privatsphäre im Haus? Hinterlasse uns dazu gerne einen Kommentar!