2289754

Sicherheitslücke: So wird Amazons Echo zur Wanze

01.08.2017 | 17:52 Uhr |

Hacker können ältere Modelle von Amazons Echo über eine Sicherheitslücke unbemerkt in eine Wanze verwandeln.

Eine Sicherheitslücke in den älteren Modellen von Amazons Bluetooth-Lautsprecher Echo verwandelt den Smart-Home-Assistenten unbemerkt in eine Wanze. Die Sicherheitsexperten von  MWR InfoSecurity konnten das Gerät bei einem Test zum Lauschinstrument machen, ohne die Alexa-Funktionen einzuschränken. Um den Hack auszuführen, müssen Angreifer zwar direkten physischen Kontakt mit dem Echo-Lautsprecher haben, dafür ist die Manipulation von dessen Besitzer aber kaum nachweisbar.

Die Sicherheitslücke entsteht durch zwei Design-Entscheidungen: Frei zugängliche Debug-Pads im Fuß des Lautsprechers und eine Hardware-Konfigurationseinstellung, die das Gerät von einer SD-Karte booten lässt. Indem er diese beiden Funktionen nutzt, kann ein Angreifer Zugriff auf die Root-Shell des Linux-Betriebssystems erlangen und seine Attacke ausführen.

Indem sie den Gummifuß an der Unterseite des Lautsprechers entfernten, bekamen die Sicherheitsforscher Zugriff auf 18 Debug-Pad, die genutzt werden können, um die Firmware einer angeschlossenen SD-Karte zu booten und darüber Malware auszuführen. Nach dem Aufspielen kann das Hacker-Werkzeug entfernt und der Gummifuß wieder angebracht werden – ohne Spuren zu hinterlassen.

Entsprechende Skripte vorausgesetzt, kann über die eingeschleuste Malware beispielsweise das integrierte Mikrofon alle Audio-Aufnahmen an einen Remote-Server streamen. Aus der Ferne könnten Hacker also alle Gespräche belauschen, die in Gegenwart des Echo-Lautsprechers geführt werden. Von der Sicherheitslücke betroffen sind die Amazon-Echo-Modelle aus den Jahren 2015 und 2016. Nicht gefährdet sind Echo Dot und das 2017er-Modell von Amazon Echo. Um sich gegen den Lauschangriff zu schützen, sollten Echo-Besitzer die Mute-Taste nutzen und den Lautsprecher nur bei vertrauenswürdigen Händlern kaufen.  

Die besten Smart Home-Systeme im Vergleich

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2289754