Wie Amazon Echo zur Abhör-Wanze wird

Der smarte Lautsprecher von Amazon könnte durch entsprechende Software in eine Abhörwanze verwandelt werden, die immer mithört und den Text ins Internet sendet. [...]

Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon
Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon

Die smarten Lautsprecher von Amazon oder Google sind vielen etwas unheimlich: schließlich hören sie Gesprächen im Haus permanent zu. Nun geben Forscher dieser Angst neue Nahrung. Mitarbeiter des Sicherheitsunternehmens CheckMarx haben nämlich herausgefunden, wie einfach sich Amazons Echo in eine Abhörwanze verwandeln lässt. Mit einer fragwürdigen Funktion im SDK für Alexa gelang es den Experten, eine Routine zu entwickeln, die im Hintergrund unbemerkt aktiv bleibt, die Gespräche in Text verwandelt und diese an einen Server übermittelt.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Das blaue Licht am Lautsprecher zeigt zwar auch weiterhin an, dass das Mikrofon aktiv ist, der Exlpoit dürfte Usern dennoch nicht so schnell auffallen.

Möglich wurde diese Abhör-Funktion durch eine Schwachstelle in der Java-Script Bibliothek (SDK). Man greift dazu auf die Funktion der erneuten Nachfrage zurück: Echo tut dann so, als habe er einen Nutzer-Befehl nicht verstanden und sendet eine erneute Nachfrage. Satt einer Nachfrage wird aber nur Stille gesendet, und die Aufnahme des Nutzers wird fortgeführt. Diese lässt sich in eine Log-Datei schreiben, um Entwicklern die Erkennung der Befehle zu erleichtern. Im Falle der Abhör-Software wandern aber alle Gespräche in die Datei.

Ob eine derartige Abhör-Software von Amazon entdeckt und geblockt würde, bleibt fraglich. Vorerst sind keine Programme im Amazon Store bekannt, welche diese Schachstelle auch wirklich ausnutzen. Dennoch sollten Nutzer die blaue Leuchte im Auge behalten, wenn diese dauerhaft aktiv bleibt. Amazon hat zudem schon bekannt gegeben, dass Nutzer mit einem neuen Update in Zukunft gewarnt werden, sobald Alexa für einen längeren Zeitraum lauscht.

Schon im Vorjahr hatten Forscher von MWR InfoSecurity aufgezeigt, wie man Amazon’s Echo in eine Wanze verwandeln kann. Damals diente das Feld mit Kontakten als Einfallstor, das zu Debugging-Zwecken verbaut ist. Wenn man die 18 Pins unter der Abdeckfläche manipuliert, ließ sich von einer microSD-Karte ein fremdes Betriebssystem booten, woraufhin das Gerät mit Malware infiziert werden konnte. Dies galt allerdings nur für ältere Geräte, der neue Amazon Echo und das Dot-Modell ließen sich nicht aushebeln.

Amazon selbst will auch mitlauschen

Aber auch Amazon selbst ist am Belauschen seiner Nutzer interessiert, wie ein Artikel der New York Times zeigt. Dem zufolge arbeitet der Onlinehändler selbst seit längerem an Systemen, welche User abhören und dann erkannte Inhalte zur Werbung nutzen sollen. Der aktuelle US-Patentantrag 20170323645 von Amazon umfasst nämlich technische Möglichkeiten zur Extrahierung von Sprachinhalten aus Unterhaltungen, für gezielte Werbung und Produktempfehlungen.

Abbildung aus dem Amazon-Patentantrag

Dies erfolgt mit „Sniffer-Algorithmen oder -Prozessen“, welche durch Ausforschung von Wörtern (ZB „liebe“, „mag“, „Problem“ auf ein bestimmtes Interesse des Nutzers hinweisen können. Laut New York Times hat Amazon in einer Stellungnahme bereits versichert, dass es sich dabei nur um „Forschung“ handle, welche noch mehrere Jahre in Anspruch nehmen werde.

Bislang kann man Alexa nur über ein Schlüsselwort aktivieren, in der Regel „Alexa“, gefolgt von einem Sprachbefehl. Es wird zwar in die Cloud gesendet, der Nutzer kann aber jederzeit die Aufnahmehistorie ansehen und löschen. Mittels Mute-Knopf lässt sich die Aufnahmefunktion auch vollständig abschalten.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*