Wie das Magazin Bleeping Computing jetzt mitteilt, sind Millionen von Amazon-Echo-Geräten der 1. Generation und der Kindle eBook-Reader der 8. Generation anfällig für eine alte WiFi-Schwachstelle mit der Bezeichnung KRACK.
Angreifer können den Bug ausnutzen und eine Man in the middle-Attacke auf ein geschütztes WPA2 Netzwerk durchführen. In einem Kommentar äußert sich der CSO von Cybereason Sam Curry dazu.
Amazon zu sorglos mit Smart-Home-Suite!
Wenn es um den Schutz der Privatsphäre geht, scheint man bei Amazon keine besonderen Ambitionen zu zeigen. Das Magazin Bleeping Computing weist auf die Verwundbarkeit einer riesigen Zahl von Amazon-Echo-Geräten aus der ersten Generation hin und auch der Kindle eBook-Reader der achten Generation ist betroffen.
Angreifbar sind die Geräte durch einen schon älteren WiFi-Bug, der sich KRACK nennt, was von Key Reinstallation Attack kommt. Es handelt sich dabei um eine Schwachstelle beim 4-Wege-Handshake des WPA2-Protokolls. Auf diese Weise können Angreifer die vom Kunden gesendeten Datenpakete entschlüsseln und potenziell vertrauliche Informationen stehlen, die in Klartext übermittelt worden sind.
Zwar wird durch diese Art von Angriff die WPA2-Netzwerkverbindung kompromittiert, jedoch ist hier auch anzumerken, dass der verschlüsselte Datenverkehr weiterhin vor dem Ausspähen geschützt ist.
Der CSO von Cybereason Sam Curry äußert sich zu diesem sicherheitsrelevanten Thema wie folgt:
Amazon Echo, Kindle und die komplette Smart-Home-Suite von Amazon sitzen direkt an der Schnittstelle zwischen unserem privaten und digitalem Leben. Welche Auswirkungen die Technologie auf unser Zuhause und auf unseren Arbeitsplatz wirklich hat und wie man diese Geräte sicher betreiben und die Privatsphäre schützen kann, das herauszufinden, haben wir gerade erst begonnen. WiFi-Sniffing, das Unterbrechen und Abhören des Datenstroms und das Übernehmen und Abfangen von Dateninformationen (oder -inhalten) ist nichts grundsätzlich neues. Aber die aktuellen Entwicklungen haben möglicherweise sehr viel weitreichendere Folgen, als einfach nur die Nutzungsgewohnheiten eines Kindle-Lesers auszuspionieren. Wir sollten nicht außer Acht lassen, dass nicht wenige Unternehmen Geschäftsbeziehungen zu AWS unterhalten und dass unsere Amazon-Identität direkt mit dem eigenen Zuhause, dem eigenen Bankkonto oder der Kreditkarte verknüpft ist. Es wäre keine schlechte Idee, wenn Amazon sich hinsichtlich aller seiner Komponenten und ihrer Verwendung etwas mehr Gedanken machen würde. Besser früher als später.
Ausführliche Informationen zur WiFi-Schwachstelle KRACK gibt es im Beitrag von Bleeping Computing "Millions of Amazon Echo and Kindle Devices Affected by WiFi Bug".
