Wie Amazon Echo zur Abhör-Wanze wird

Der smarte Lautsprecher von Amazon könnte durch entsprechende Software in eine Abhörwanze verwandelt werden, die immer mithört und den Text ins Internet sendet. [...]

Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon
Achten Sie auf das blaue Licht. Bleibt es dauerhaft an, droht Gefahr (c) Amazon

Die smarten Lautsprecher von Amazon oder Google sind vielen etwas unheimlich: schließlich hören sie Gesprächen im Haus permanent zu. Nun geben Forscher dieser Angst neue Nahrung. Mitarbeiter des Sicherheitsunternehmens CheckMarx haben nämlich herausgefunden, wie einfach sich Amazons Echo in eine Abhörwanze verwandeln lässt. Mit einer fragwürdigen Funktion im SDK für Alexa gelang es den Experten, eine Routine zu entwickeln, die im Hintergrund unbemerkt aktiv bleibt, die Gespräche in Text verwandelt und diese an einen Server übermittelt.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Das blaue Licht am Lautsprecher zeigt zwar auch weiterhin an, dass das Mikrofon aktiv ist, der Exlpoit dürfte Usern dennoch nicht so schnell auffallen.

Möglich wurde diese Abhör-Funktion durch eine Schwachstelle in der Java-Script Bibliothek (SDK). Man greift dazu auf die Funktion der erneuten Nachfrage zurück: Echo tut dann so, als habe er einen Nutzer-Befehl nicht verstanden und sendet eine erneute Nachfrage. Satt einer Nachfrage wird aber nur Stille gesendet, und die Aufnahme des Nutzers wird fortgeführt. Diese lässt sich in eine Log-Datei schreiben, um Entwicklern die Erkennung der Befehle zu erleichtern. Im Falle der Abhör-Software wandern aber alle Gespräche in die Datei.

Ob eine derartige Abhör-Software von Amazon entdeckt und geblockt würde, bleibt fraglich. Vorerst sind keine Programme im Amazon Store bekannt, welche diese Schachstelle auch wirklich ausnutzen. Dennoch sollten Nutzer die blaue Leuchte im Auge behalten, wenn diese dauerhaft aktiv bleibt. Amazon hat zudem schon bekannt gegeben, dass Nutzer mit einem neuen Update in Zukunft gewarnt werden, sobald Alexa für einen längeren Zeitraum lauscht.

Schon im Vorjahr hatten Forscher von MWR InfoSecurity aufgezeigt, wie man Amazon’s Echo in eine Wanze verwandeln kann. Damals diente das Feld mit Kontakten als Einfallstor, das zu Debugging-Zwecken verbaut ist. Wenn man die 18 Pins unter der Abdeckfläche manipuliert, ließ sich von einer microSD-Karte ein fremdes Betriebssystem booten, woraufhin das Gerät mit Malware infiziert werden konnte. Dies galt allerdings nur für ältere Geräte, der neue Amazon Echo und das Dot-Modell ließen sich nicht aushebeln.

Amazon selbst will auch mitlauschen

Aber auch Amazon selbst ist am Belauschen seiner Nutzer interessiert, wie ein Artikel der New York Times zeigt. Dem zufolge arbeitet der Onlinehändler selbst seit längerem an Systemen, welche User abhören und dann erkannte Inhalte zur Werbung nutzen sollen. Der aktuelle US-Patentantrag 20170323645 von Amazon umfasst nämlich technische Möglichkeiten zur Extrahierung von Sprachinhalten aus Unterhaltungen, für gezielte Werbung und Produktempfehlungen.

img-2

Abbildung aus dem Amazon-Patentantrag

Dies erfolgt mit „Sniffer-Algorithmen oder -Prozessen“, welche durch Ausforschung von Wörtern (ZB „liebe“, „mag“, „Problem“ auf ein bestimmtes Interesse des Nutzers hinweisen können. Laut New York Times hat Amazon in einer Stellungnahme bereits versichert, dass es sich dabei nur um „Forschung“ handle, welche noch mehrere Jahre in Anspruch nehmen werde.

Bislang kann man Alexa nur über ein Schlüsselwort aktivieren, in der Regel „Alexa“, gefolgt von einem Sprachbefehl. Es wird zwar in die Cloud gesendet, der Nutzer kann aber jederzeit die Aufnahmehistorie ansehen und löschen. Mittels Mute-Knopf lässt sich die Aufnahmefunktion auch vollständig abschalten.


Mehr Artikel

img-5
News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

img-7
Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

img-9
News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*