Wie Amazons Echo zu einer Wanze umgebaut werden kann

Personen, denen man nicht völlig vertraut, sollte man besser nicht unbeaufsichtigt in die Nähe des eigenen Amazon Echo-Lautsprechers lassen. Denn dies würde den Weg frei machen, um das Gerät mit recht überschaubarem Aufwand in eine Wanze zu verwandeln. Attacken gegen die Systeme sind von außen relativ unwahrscheinlich - immerhin sind diese meist nicht direkt aus dem Internet erreichbar und bauen Verbindungen in einem recht eng kontrollierten Rahmen auf. Entsprechend gering ist das Risiko, versehentlich Malware auf das Gerät zu bekommen. Anders sieht die Sicherheits-Lage aber aus, wenn ein Angreifer physischen Zugang zu dem Produkt bekommt.

Die Sicherheitsforscher von MWR InfoSecurity haben eine Analyse darüber veröffentlicht, wie sie sich Kontrolle über ein Echo-System verschafften. Eine entscheidende Rolle dabei spielt ein Feld mit Kontakten, das zu Debugging-Zwecken vorhanden ist. Dieses befindet sich unter der Gummi-Abdeckung auf der Unterseite des Lautsprechers. Wird das Gerät über die 18 Pins richtig angesprochen, kann es dazu gezwungen werden, ein fremdes Betriebssystem direkt von einer SD-Karte zu booten, worüber sich dann Malware auf den internen Speicher installieren lässt.


Die Sicherheitsforscher schafften es so, den Echo in eine Wanze umzubauen, ohne, dass die Manipulationen direkt sichtbar wären. Die Bodenabdeckung lässt sich problemlos wieder anbringen und der Echo funktioniert weiterhin, wie der Nutzer es gewohnt ist.

Ausleitung des Audio-Signals

Der Unterschied liegt lediglich in der Tatsache, dass die aufgebrachte Malware die Aufnahmen des eingebauten Mikrofons stetig direkt an eine Stelle nach Wahl des Angreifers weiterleitet. Dort lässt sich das Signal entweder direkt als Stream wiedergeben oder als Audiodatei speichern. Möglich ist der beschriebene Angriff bei den Echos, die in den Jahren 2015 und 2016 produziert wurden. Die 2017er Version sowie das Dot-Modell sind nicht betroffen.

Den Sicherheitsforschern ging es bei dem Hack allerdings nicht darum, den Echo zu diskreditieren. Die Sache verweise vielmehr auf einige wichtige Fragen, mit denen sich Hersteller und Nutzer so genannter Smart-Home-Systeme grundsätzlich beschäftigen müssten, erklärte Mark Barnes, von MWR InfoSecurity. Das betrifft einerseits die System-Sicherheit, für die die Produzenten zu sorgen hätten. Und die Nutzer sollten stets darauf achten, Geräte, die man nur sehr selten tiefergehend kontrolliert, nie in ungesicherten Umgebungen zu betreiben.

Die täglichen Blitzangebote in der bewährten WinFuture-Übersicht Amazon Prime Das sind die Vorteile des Premium-Angebots Amazon, Sprachassistent, Alexa, Echo Amazon