Wie Amazon Echo zur Abhör-Wanze wird

Der smarte Lautsprecher von Amazon könnte durch entsprechende Software in eine Abhörwanze verwandelt werden, die immer mithört und den Text ins Internet sendet. [...]

Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon
Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon

Die smarten Lautsprecher von Amazon oder Google sind vielen etwas unheimlich: schließlich hören sie Gesprächen im Haus permanent zu. Nun geben Forscher dieser Angst neue Nahrung. Mitarbeiter des Sicherheitsunternehmens CheckMarx haben nämlich herausgefunden, wie einfach sich Amazons Echo in eine Abhörwanze verwandeln lässt. Mit einer fragwürdigen Funktion im SDK für Alexa gelang es den Experten, eine Routine zu entwickeln, die im Hintergrund unbemerkt aktiv bleibt, die Gespräche in Text verwandelt und diese an einen Server übermittelt.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Das blaue Licht am Lautsprecher zeigt zwar auch weiterhin an, dass das Mikrofon aktiv ist, der Exlpoit dürfte Usern dennoch nicht so schnell auffallen.

Möglich wurde diese Abhör-Funktion durch eine Schwachstelle in der Java-Script Bibliothek (SDK). Man greift dazu auf die Funktion der erneuten Nachfrage zurück: Echo tut dann so, als habe er einen Nutzer-Befehl nicht verstanden und sendet eine erneute Nachfrage. Satt einer Nachfrage wird aber nur Stille gesendet, und die Aufnahme des Nutzers wird fortgeführt. Diese lässt sich in eine Log-Datei schreiben, um Entwicklern die Erkennung der Befehle zu erleichtern. Im Falle der Abhör-Software wandern aber alle Gespräche in die Datei.

Ob eine derartige Abhör-Software von Amazon entdeckt und geblockt würde, bleibt fraglich. Vorerst sind keine Programme im Amazon Store bekannt, welche diese Schachstelle auch wirklich ausnutzen. Dennoch sollten Nutzer die blaue Leuchte im Auge behalten, wenn diese dauerhaft aktiv bleibt. Amazon hat zudem schon bekannt gegeben, dass Nutzer mit einem neuen Update in Zukunft gewarnt werden, sobald Alexa für einen längeren Zeitraum lauscht.

Schon im Vorjahr hatten Forscher von MWR InfoSecurity aufgezeigt, wie man Amazon’s Echo in eine Wanze verwandeln kann. Damals diente das Feld mit Kontakten als Einfallstor, das zu Debugging-Zwecken verbaut ist. Wenn man die 18 Pins unter der Abdeckfläche manipuliert, ließ sich von einer microSD-Karte ein fremdes Betriebssystem booten, woraufhin das Gerät mit Malware infiziert werden konnte. Dies galt allerdings nur für ältere Geräte, der neue Amazon Echo und das Dot-Modell ließen sich nicht aushebeln.

Amazon selbst will auch mitlauschen

Aber auch Amazon selbst ist am Belauschen seiner Nutzer interessiert, wie ein Artikel der New York Times zeigt. Dem zufolge arbeitet der Onlinehändler selbst seit längerem an Systemen, welche User abhören und dann erkannte Inhalte zur Werbung nutzen sollen. Der aktuelle US-Patentantrag 20170323645 von Amazon umfasst nämlich technische Möglichkeiten zur Extrahierung von Sprachinhalten aus Unterhaltungen, für gezielte Werbung und Produktempfehlungen.

img-2

Abbildung aus dem Amazon-Patentantrag

Dies erfolgt mit „Sniffer-Algorithmen oder -Prozessen“, welche durch Ausforschung von Wörtern (ZB „liebe“, „mag“, „Problem“ auf ein bestimmtes Interesse des Nutzers hinweisen können. Laut New York Times hat Amazon in einer Stellungnahme bereits versichert, dass es sich dabei nur um „Forschung“ handle, welche noch mehrere Jahre in Anspruch nehmen werde.

Bislang kann man Alexa nur über ein Schlüsselwort aktivieren, in der Regel „Alexa“, gefolgt von einem Sprachbefehl. Es wird zwar in die Cloud gesendet, der Nutzer kann aber jederzeit die Aufnahmehistorie ansehen und löschen. Mittels Mute-Knopf lässt sich die Aufnahmefunktion auch vollständig abschalten.


Mehr Artikel

img-5
News

Erfolgreiche KI-Projekte beginnen mit einem Readiness-Check

Das KI-Potenzial ist praktisch unerschöpflich. Doch um es richtig zu nutzen und daraus echte Wettbewerbsvorteile zu generieren, muss vorab die Bereitschaft des Unternehmens dafür geklärt werden. Der IT-Dienstleister CGI erklärt, warum der Readiness-Check so wichtig ist, was er genau analysiert und was mit den daraus gewonnenen Erkenntnissen passiert.​ […]

img-7
Case-Study

Komplexe EDI-Integration in SAP S/4HANA

Der Kärntner Lebensmittelproduzent KARNERTA hat mit Unterstützung von EDITEL eine reibungslose Einbindung von Electronic Data Interchange (EDI) in sein neues SAP S/4HANA-System realisiert. Dabei wurden die Daten von mehr als tausend Kunden während des laufenden Betriebes in die neue IT-Systemlandschaft überführt. […]

img-8
News

Supply Chain bleibt Sorgenkind der Industrie

Mehr als zwei Drittel der Unternehmen in der DACH-Region klagen über Engpässe bei ihren Lieferanten. Weitere Belastungen sind Qualitätsprobleme bei den Lieferanten sowie stark gestiegene Transportkosten, wie die aktuelle Studie „Performance-Treiber 2024“ zeigt. […]

img-11
News

KI als treibende Kraft hinter der Cloud-Strategie

Laut einer aktuellen Red-Hat-Studie stehen Investitionen in die Cloud als Geschäftspriorität für 2025 ganz oben auf der Liste der befragten IT-Manager, wobei KI für 82 Prozent eine treibende Kraft ist und gleichzeitig bei 88 Prozent ein erhebliches Qualifikationsdefizit im Bereich KI besteht. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*