Wie Amazon Echo zur Abhör-Wanze wird

Der smarte Lautsprecher von Amazon könnte durch entsprechende Software in eine Abhörwanze verwandelt werden, die immer mithört und den Text ins Internet sendet. [...]

Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon
Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon

Die smarten Lautsprecher von Amazon oder Google sind vielen etwas unheimlich: schließlich hören sie Gesprächen im Haus permanent zu. Nun geben Forscher dieser Angst neue Nahrung. Mitarbeiter des Sicherheitsunternehmens CheckMarx haben nämlich herausgefunden, wie einfach sich Amazons Echo in eine Abhörwanze verwandeln lässt. Mit einer fragwürdigen Funktion im SDK für Alexa gelang es den Experten, eine Routine zu entwickeln, die im Hintergrund unbemerkt aktiv bleibt, die Gespräche in Text verwandelt und diese an einen Server übermittelt.

Das blaue Licht am Lautsprecher zeigt zwar auch weiterhin an, dass das Mikrofon aktiv ist, der Exlpoit dürfte Usern dennoch nicht so schnell auffallen.

Möglich wurde diese Abhör-Funktion durch eine Schwachstelle in der Java-Script Bibliothek (SDK). Man greift dazu auf die Funktion der erneuten Nachfrage zurück: Echo tut dann so, als habe er einen Nutzer-Befehl nicht verstanden und sendet eine erneute Nachfrage. Satt einer Nachfrage wird aber nur Stille gesendet, und die Aufnahme des Nutzers wird fortgeführt. Diese lässt sich in eine Log-Datei schreiben, um Entwicklern die Erkennung der Befehle zu erleichtern. Im Falle der Abhör-Software wandern aber alle Gespräche in die Datei.

Ob eine derartige Abhör-Software von Amazon entdeckt und geblockt würde, bleibt fraglich. Vorerst sind keine Programme im Amazon Store bekannt, welche diese Schachstelle auch wirklich ausnutzen. Dennoch sollten Nutzer die blaue Leuchte im Auge behalten, wenn diese dauerhaft aktiv bleibt. Amazon hat zudem schon bekannt gegeben, dass Nutzer mit einem neuen Update in Zukunft gewarnt werden, sobald Alexa für einen längeren Zeitraum lauscht.

Schon im Vorjahr hatten Forscher von MWR InfoSecurity aufgezeigt, wie man Amazon’s Echo in eine Wanze verwandeln kann. Damals diente das Feld mit Kontakten als Einfallstor, das zu Debugging-Zwecken verbaut ist. Wenn man die 18 Pins unter der Abdeckfläche manipuliert, ließ sich von einer microSD-Karte ein fremdes Betriebssystem booten, woraufhin das Gerät mit Malware infiziert werden konnte. Dies galt allerdings nur für ältere Geräte, der neue Amazon Echo und das Dot-Modell ließen sich nicht aushebeln.

Amazon selbst will auch mitlauschen

Aber auch Amazon selbst ist am Belauschen seiner Nutzer interessiert, wie ein Artikel der New York Times zeigt. Dem zufolge arbeitet der Onlinehändler selbst seit längerem an Systemen, welche User abhören und dann erkannte Inhalte zur Werbung nutzen sollen. Der aktuelle US-Patentantrag 20170323645 von Amazon umfasst nämlich technische Möglichkeiten zur Extrahierung von Sprachinhalten aus Unterhaltungen, für gezielte Werbung und Produktempfehlungen.

Abbildung aus dem Amazon-Patentantrag

Dies erfolgt mit „Sniffer-Algorithmen oder -Prozessen“, welche durch Ausforschung von Wörtern (ZB „liebe“, „mag“, „Problem“ auf ein bestimmtes Interesse des Nutzers hinweisen können. Laut New York Times hat Amazon in einer Stellungnahme bereits versichert, dass es sich dabei nur um „Forschung“ handle, welche noch mehrere Jahre in Anspruch nehmen werde.

Bislang kann man Alexa nur über ein Schlüsselwort aktivieren, in der Regel „Alexa“, gefolgt von einem Sprachbefehl. Es wird zwar in die Cloud gesendet, der Nutzer kann aber jederzeit die Aufnahmehistorie ansehen und löschen. Mittels Mute-Knopf lässt sich die Aufnahmefunktion auch vollständig abschalten.

Werbung

Mehr Artikel

(c) PlusServer
Whitepaper

IDG-Studie: Das bringt die Migration in die Cloud

In diesem Whitepaper lesen Sie von der IDG Cloud-Migration-Studie 2018, die unter anderem den Fragen nach geht, wer in den Unternehmen Cloud Migration treibt, welche Vorteile erhofft werden, mit welchen Risiken und Herausforderungen gerechnet wird und wie zufriedenstellend die bisherigen Cloud-Migrations-Projekte verlaufen sind. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.