Der smarte Lautsprecher von Amazon könnte durch entsprechende Software in eine Abhörwanze verwandelt werden, die immer mithört und den Text ins Internet sendet. [...]
Die smarten Lautsprecher von Amazon oder Google sind vielen etwas unheimlich: schließlich hören sie Gesprächen im Haus permanent zu. Nun geben Forscher dieser Angst neue Nahrung. Mitarbeiter des Sicherheitsunternehmens CheckMarx haben nämlich herausgefunden, wie einfach sich Amazons Echo in eine Abhörwanze verwandeln lässt. Mit einer fragwürdigen Funktion im SDK für Alexa gelang es den Experten, eine Routine zu entwickeln, die im Hintergrund unbemerkt aktiv bleibt, die Gespräche in Text verwandelt und diese an einen Server übermittelt.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Das blaue Licht am Lautsprecher zeigt zwar auch weiterhin an, dass das Mikrofon aktiv ist, der Exlpoit dürfte Usern dennoch nicht so schnell auffallen.
Möglich wurde diese Abhör-Funktion durch eine Schwachstelle in der Java-Script Bibliothek (SDK). Man greift dazu auf die Funktion der erneuten Nachfrage zurück: Echo tut dann so, als habe er einen Nutzer-Befehl nicht verstanden und sendet eine erneute Nachfrage. Satt einer Nachfrage wird aber nur Stille gesendet, und die Aufnahme des Nutzers wird fortgeführt. Diese lässt sich in eine Log-Datei schreiben, um Entwicklern die Erkennung der Befehle zu erleichtern. Im Falle der Abhör-Software wandern aber alle Gespräche in die Datei.
Ob eine derartige Abhör-Software von Amazon entdeckt und geblockt würde, bleibt fraglich. Vorerst sind keine Programme im Amazon Store bekannt, welche diese Schachstelle auch wirklich ausnutzen. Dennoch sollten Nutzer die blaue Leuchte im Auge behalten, wenn diese dauerhaft aktiv bleibt. Amazon hat zudem schon bekannt gegeben, dass Nutzer mit einem neuen Update in Zukunft gewarnt werden, sobald Alexa für einen längeren Zeitraum lauscht.
Schon im Vorjahr hatten Forscher von MWR InfoSecurity aufgezeigt, wie man Amazon’s Echo in eine Wanze verwandeln kann. Damals diente das Feld mit Kontakten als Einfallstor, das zu Debugging-Zwecken verbaut ist. Wenn man die 18 Pins unter der Abdeckfläche manipuliert, ließ sich von einer microSD-Karte ein fremdes Betriebssystem booten, woraufhin das Gerät mit Malware infiziert werden konnte. Dies galt allerdings nur für ältere Geräte, der neue Amazon Echo und das Dot-Modell ließen sich nicht aushebeln.
Amazon selbst will auch mitlauschen
Aber auch Amazon selbst ist am Belauschen seiner Nutzer interessiert, wie ein Artikel der New York Times zeigt. Dem zufolge arbeitet der Onlinehändler selbst seit längerem an Systemen, welche User abhören und dann erkannte Inhalte zur Werbung nutzen sollen. Der aktuelle US-Patentantrag 20170323645 von Amazon umfasst nämlich technische Möglichkeiten zur Extrahierung von Sprachinhalten aus Unterhaltungen, für gezielte Werbung und Produktempfehlungen.
Abbildung aus dem Amazon-Patentantrag
Dies erfolgt mit „Sniffer-Algorithmen oder -Prozessen“, welche durch Ausforschung von Wörtern (ZB „liebe“, „mag“, „Problem“ auf ein bestimmtes Interesse des Nutzers hinweisen können. Laut New York Times hat Amazon in einer Stellungnahme bereits versichert, dass es sich dabei nur um „Forschung“ handle, welche noch mehrere Jahre in Anspruch nehmen werde.
Bislang kann man Alexa nur über ein Schlüsselwort aktivieren, in der Regel „Alexa“, gefolgt von einem Sprachbefehl. Es wird zwar in die Cloud gesendet, der Nutzer kann aber jederzeit die Aufnahmehistorie ansehen und löschen. Mittels Mute-Knopf lässt sich die Aufnahmefunktion auch vollständig abschalten.
Be the first to comment