Sicherheitslücke

So wird Amazons Echo zur Wanze

Denise Bergert ist Fotografin und IT-Journalistin aus Chemnitz.
Hacker können ältere Modelle von Amazons Echo über eine Sicherheitslücke unbemerkt in eine Wanze verwandeln.
Sicherheitslücke in älteren Echo-Modellen entdeckt. Nicht gefährdet sind Echo Dot und das 2017er-Modell.
Sicherheitslücke in älteren Echo-Modellen entdeckt. Nicht gefährdet sind Echo Dot und das 2017er-Modell.
Foto: Zapp2Photo - shutterstock.com

Eine Sicherheitslücke in den älteren Modellen von Amazons Bluetooth-Lautsprecher Echo verwandelt den Smart-Home-Assistenten unbemerkt in eine Wanze. Die Sicherheitsexperten von MWR InfoSecurity konnten das Gerät bei einem Test zum Lauschinstrument machen, ohne die Alexa-Funktionen einzuschränken. Um den Hack auszuführen, müssen Angreifer zwar direkten physischen Kontakt mit dem Echo-Lautsprecher haben, dafür ist die Manipulation von dessen Besitzer aber kaum nachweisbar.

Die Sicherheitslücke entsteht durch zwei Design-Entscheidungen: Frei zugängliche Debug-Pads im Fuß des Lautsprechers und eine Hardware-Konfigurationseinstellung, die das Gerät von einer SD-Karte booten lässt. Indem er diese beiden Funktionen nutzt, kann ein Angreifer Zugriff auf die Root-Shell des Linux-Betriebssystems erlangen und seine Attacke ausführen.

Indem sie den Gummifuß an der Unterseite des Lautsprechers entfernten, bekamen die Sicherheitsforscher Zugriff auf 18 Debug-Pad, die genutzt werden können, um die Firmware einer angeschlossenen SD-Karte zu booten und darüber Malware auszuführen. Nach dem Aufspielen kann das Hacker-Werkzeug entfernt und der Gummifuß wieder angebracht werden – ohne Spuren zu hinterlassen.

Entsprechende Skripte vorausgesetzt, kann über die eingeschleuste Malware beispielsweise das integrierte Mikrofon alle Audio-Aufnahmen an einen Remote-Server streamen. Aus der Ferne könnten Hacker also alle Gespräche belauschen, die in Gegenwart des Echo-Lautsprechers geführt werden. Von der Sicherheitslücke betroffen sind die Amazon-Echo-Modelle aus den Jahren 2015 und 2016. Nicht gefährdet sind Echo Dot und das 2017er-Modell von Amazon Echo. Um sich gegen den Lauschangriff zu schützen, sollten Echo-Besitzer die Mute-Taste nutzen und den Lautsprecher nur bei vertrauenswürdigen Händlern kaufen. (PC-Welt)

Lesetipp: Alexa und Co. – mit Sprachbefehlen einkaufen

Zur Startseite