Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Sicherheitslücke

So wird Amazons Echo zur Wanze

22.08.2017
Von Denise Bergert
Hacker können ältere Modelle von Amazons Echo über eine Sicherheitslücke unbemerkt in eine Wanze verwandeln.
Sicherheitslücke in älteren Echo-Modellen entdeckt. Nicht gefährdet sind Echo Dot und das 2017er-Modell.
Sicherheitslücke in älteren Echo-Modellen entdeckt. Nicht gefährdet sind Echo Dot und das 2017er-Modell.
Foto: Zapp2Photo - shutterstock.com

Eine Sicherheitslücke in den älteren Modellen von Amazons Bluetooth-Lautsprecher Echo verwandelt den Smart-Home-Assistenten unbemerkt in eine Wanze. Die Sicherheitsexperten von MWR InfoSecurity konnten das Gerät bei einem Test zum Lauschinstrument machen, ohne die Alexa-Funktionen einzuschränken. Um den Hack auszuführen, müssen Angreifer zwar direkten physischen Kontakt mit dem Echo-Lautsprecher haben, dafür ist die Manipulation von dessen Besitzer aber kaum nachweisbar.

Die Sicherheitslücke entsteht durch zwei Design-Entscheidungen: Frei zugängliche Debug-Pads im Fuß des Lautsprechers und eine Hardware-Konfigurationseinstellung, die das Gerät von einer SD-Karte booten lässt. Indem er diese beiden Funktionen nutzt, kann ein Angreifer Zugriff auf die Root-Shell des Linux-Betriebssystems erlangen und seine Attacke ausführen.

Indem sie den Gummifuß an der Unterseite des Lautsprechers entfernten, bekamen die Sicherheitsforscher Zugriff auf 18 Debug-Pad, die genutzt werden können, um die Firmware einer angeschlossenen SD-Karte zu booten und darüber Malware auszuführen. Nach dem Aufspielen kann das Hacker-Werkzeug entfernt und der Gummifuß wieder angebracht werden – ohne Spuren zu hinterlassen.

Entsprechende Skripte vorausgesetzt, kann über die eingeschleuste Malware beispielsweise das integrierte Mikrofon alle Audio-Aufnahmen an einen Remote-Server streamen. Aus der Ferne könnten Hacker also alle Gespräche belauschen, die in Gegenwart des Echo-Lautsprechers geführt werden. Von der Sicherheitslücke betroffen sind die Amazon-Echo-Modelle aus den Jahren 2015 und 2016. Nicht gefährdet sind Echo Dot und das 2017er-Modell von Amazon Echo. Um sich gegen den Lauschangriff zu schützen, sollten Echo-Besitzer die Mute-Taste nutzen und den Lautsprecher nur bei vertrauenswürdigen Händlern kaufen. (PC-Welt)

Lesetipp: Alexa und Co. – mit Sprachbefehlen einkaufen