Sicherheitsberater: Bug macht Amazon Echo zum Abhörgerät

Mark Barnes, Sicherheitsberater bei MWR InfoSecurity, hat eine Möglichkeit gefunden, Amazons intelligenten Lautsprecher Echo so zu verändern, dass er unbemerkt seine Nutzer abhört und alle gewonnenen Daten an einen möglichen Angreifer übermittelt. Zwar ist die Manipulation nicht ohne physischen Zugriff auf den Lautsprecher möglich, sie hinterlässt jedoch keine sichtbaren Spuren. Auch die Funktion von Amazon Echo wird durch den Eingriff nicht eingeschränkt.

Der Angriff ist möglich, weil ein Wartungszugang an der Unterseite des Geräts frei zugänglich ist. Er erlaubt es, das Gerät von einer externen Speicherkarte zu booten. Dadurch erhält ein Angreifer Zugriff auf das Linux-Betriebssystem von Amazon Echo, um die gewünschten Änderungen auszuführen.

„Wenn Sie ein Angreifer sind, könnten sie ein Gerät bauen, es mit dem Wartungsanschluss verbinden, eine Minute oder so warten und es wieder entfernen und schon haben Sie die Möglichkeit, mit den höchsten möglichen Rechten auf das gesamte Betriebssystem zuzugreifen“, sagte der Sicherheitsberater.

Für seinen Angriff untersuchte der Sicherheitsberater auch, wie Amazon Echo Audio-Daten verarbeitet. Ein von ihm daraufhin entwickeltes Skript ist in der Lage, alle Audio-Daten an einen externen Server zu streamen. Anschließend waren die Forscher in der Lage, alle Unterhaltungen in der Nähe von Amazon Echo abzuhören.

Sicherheitsberater: Echo-Modelle von 2017 weisen die Schwachstelle nicht auf

Der Fehler tritt allerdings nur bei den Amazon-Echo-Modellen der Jahre 2015 und 2016 auf. Die Version 2017 und auch Amazon Dot sind den Forschern zufolge nicht angreifbar. Sie weisen zudem darauf hin, dass sich das Mikrofon des Lautsprechers stummschalten lässt, was auch dem Angreifer den Zugriff auf das Mikrofon verwehrt.

Amazon betonte, dass das Vertrauen der Kunden sehr wichtig sei. „Wir empfehlen, dass Kunden Amazon-Geräte von Amazon oder einem vertrauenswürdigen Einzelhändler kaufen und dass sie ihre Software auf dem neuesten Stand halten“, teilte der Online-Händler mit.

Das Internet der Dinge hat sich zu einem beliebten Angriffsziel von Hackern entwickelt. Forscher finden immer wieder Schwachstellen in IoT-Geräten, darunter auch Überwachungskameras. Der Hersteller Axis räumte beispielsweise im vergangenen Monat einen Bug in einer Open-Source-Software ein, der fast 250 seiner Kameramodelle betrifft. F-Secure meldete im Juni 18 Schwachstellen in IP-Kameras des chinesischen Herstellers Foscam.

[mit Material von Danny Palmer, ZDNet.com]