Sicherheitsberater: Bug macht Amazon Echo zum Abhörgerät

Ein Angreifer benötigt jedoch physischen Zugriff auf den intelligenten Lautsprecher. Danach kann er das Linux-Betriebssystem manipulieren und die Audio-Daten an einen externen Server streamen. Betroffen sind die Amazon-Echo-Modelle der Jahre 2015 und 2016.

Mark Barnes, Sicherheitsberater bei MWR InfoSecurity, hat eine Möglichkeit gefunden, Amazons intelligenten Lautsprecher Echo so zu verändern, dass er unbemerkt seine Nutzer abhört und alle gewonnenen Daten an einen möglichen Angreifer übermittelt. Zwar ist die Manipulation nicht ohne physischen Zugriff auf den Lautsprecher möglich, sie hinterlässt jedoch keine sichtbaren Spuren. Auch die Funktion von Amazon Echo wird durch den Eingriff nicht eingeschränkt.

Ein von dem Sicherheitsberater Mark Barnes entwickeltes Skript ist in der Lage, alle Audio-Daten an einen externen Server zu streamen. (Bild: Amazon)Der Angriff ist möglich, weil ein Wartungszugang an der Unterseite des Geräts frei zugänglich ist. Er erlaubt es, das Gerät von einer externen Speicherkarte zu booten. Dadurch erhält ein Angreifer Zugriff auf das Linux-Betriebssystem von Amazon Echo, um die gewünschten Änderungen auszuführen.

„Wenn Sie ein Angreifer sind, könnten sie ein Gerät bauen, es mit dem Wartungsanschluss verbinden, eine Minute oder so warten und es wieder entfernen und schon haben Sie die Möglichkeit, mit den höchsten möglichen Rechten auf das gesamte Betriebssystem zuzugreifen“, sagte der Sicherheitsberater.

Für seinen Angriff untersuchte der Sicherheitsberater auch, wie Amazon Echo Audio-Daten verarbeitet. Ein von ihm daraufhin entwickeltes Skript ist in der Lage, alle Audio-Daten an einen externen Server zu streamen. Anschließend waren die Forscher in der Lage, alle Unterhaltungen in der Nähe von Amazon Echo abzuhören.

Sicherheitsberater: Echo-Modelle von 2017 weisen die Schwachstelle nicht auf

Der Fehler tritt allerdings nur bei den Amazon-Echo-Modellen der Jahre 2015 und 2016 auf. Die Version 2017 und auch Amazon Dot sind den Forschern zufolge nicht angreifbar. Sie weisen zudem darauf hin, dass sich das Mikrofon des Lautsprechers stummschalten lässt, was auch dem Angreifer den Zugriff auf das Mikrofon verwehrt.

Amazon betonte, dass das Vertrauen der Kunden sehr wichtig sei. „Wir empfehlen, dass Kunden Amazon-Geräte von Amazon oder einem vertrauenswürdigen Einzelhändler kaufen und dass sie ihre Software auf dem neuesten Stand halten“, teilte der Online-Händler mit.

Das Internet der Dinge hat sich zu einem beliebten Angriffsziel von Hackern entwickelt. Forscher finden immer wieder Schwachstellen in IoT-Geräten, darunter auch Überwachungskameras. Der Hersteller Axis räumte beispielsweise im vergangenen Monat einen Bug in einer Open-Source-Software ein, der fast 250 seiner Kameramodelle betrifft. F-Secure meldete im Juni 18 Schwachstellen in IP-Kameras des chinesischen Herstellers Foscam.

[mit Material von Danny Palmer, ZDNet.com]

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Themenseiten: Amazon, Datenschutz, Lautsprecher, Privacy, Smart Home, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicherheitsberater: Bug macht Amazon Echo zum Abhörgerät

Kommentar hinzufügen
  • Am 2. August 2017 um 11:13 von Peinlich

    ! irreführende Überschrift. Begibt man sich hier auch schon auf das gleiche Boulevard-Niveau, bei dem heise.de schon länger gelandet ist?

    BUG ?
    Software oder Hardware Fehler?
    Sicherheitslücke in der Software?

    Oder einfach nur Debug-Anschlüsse im Gerät, die erst nach Entfernen des Unterteils zugänglich sind?

    Manchmal muss man sich auch für ZDNet fremdschämen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *