Erfolgreicher Angriff auf den Amazon Echo: Hacker können sämtliche Gespräche mithören
Man ist schon beinahe geneigt zu sagen, dass diese Meldung über kurz oder lang zu erwarten war. Wie der Sicherheitsforscher Mark Barnes in seinem Blog berichtet, ist es Hackern möglich, sich Zugriff auf den Amazon Echo zu verschaffen und so das Wohnzimmer seines Nutzers auszuspionieren. Dabei können sämtliche von den Mikrofonen des Echo aufgefangenen Audiosignale direkt an den Server des Angreifers übertragen werden. Dafür ist nicht einmal der Sprachbefehl "Alexa, ..." erforderlich, um die aufzeichnung zu beinnen. Allerdings ist für den Angriff ein physischer Zugriff auf das Gerät erforderlich, um es über eine eingesetzte SD-Karte mit einer manipulierten Firmware zu versehen. Klingt erstmal wenig relevant für die Praxis, allerdings kann sowas natürlich auch dann mal schnell geschehen, wenn man den Echo nicht direkt von Amazon erwirbt, sondern beispielsweise über eBay. Betroffen von der Sicherheitslücke sind offenbar alle Echos, die in den Jahren 2015 und 2016 produziert wurden.
Der Vorfall zeigt man wieder, wie arglos heutzutage mit dem Thema IT-Sicherheit umgegangen wird. Nach wie vor gibt es keine wirklich brauchbaren Sicherheitskonzepte für Geräte aus dem Bereich des "Internet of Things". Auch aus diesem Grund kommt mir zum aktuellen Zeitpunkt weder ein Amazon Echo, noch ein Apple HomePod in die eigenen vier Wände.
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Holger am :
Anonym am :
Thomas am :
Anonym am :
SOE am :
Wahrscheinlich ist das wie mit den Datenschutzeinstellungen unter Windows: Erst seit es diese gibt ist den Menschen klar, was ein Computer alles versenden kann und schon machen sie Microsoft verantwortlich.
Und ein Mikrofon muss wie ein Mikrofon aussehen, sonst glauben die Menschen gar nicht, dass es tatsächlich als Mikrofon fungieren kann.
Tommy1961 am :
Wie bekommt man mit einer SD Karte in ein Echo Ger\344t, oder \374ber Bluetooth?
Alf am :
Sealand am :
Wolfgangster am :
Michael am :
Tommy1961 am :
"Allerdings ist f\374r den Angriff ein physischer Zugriff auf das Ger\344t erforderlich, um es \374ber eine eingesetzte SD-Karte mit einer manipulierten Firmware zu versehen. Klingt erstmal wenig relevant f\374r die Praxis, allerdings kann sowas."
Daraus stellt sich f\374r mich die Frage:
Wo kann man beim Echo eine SD Karte benutzen, denn habe in Beschreibungen und Videos keine M\366glichkeit gesehen SD Karten zu nutzen?
Hoffe die Frage wird nun verstanden.
OhaRRa am :
Tommy am :
Hauke Haien am :
Tommy1961 am :
Habe ich das Ger\344t in der Hand, ist auch dies schon physisch (k\366rperlich).
Aber selbst wenn das SD Laufwerk innen w\344re, (wieso ist es dann nicht drau\337en, w\344re doch auch ein Verkaufsvorteil?) w\344re der Zugriff ins Ger\344t schon recht aufw\344ndig.
SOE am :
Vereinfacht gesagt gibt es am Boden des Echos Anschlüsse mit denen man Zugriff auf das System des Echo bekommt, ohne diesen öffnen zu müssen.
Die SD-Card wird nicht eingebaut, sondern per Kabel mit dem Echo verbunden und das Gerät über die elektronischen Anschlüsse am Boden neu konfiguriert.
Sieht auf den Bildern etwas unpraktisch aus, ist aber ja nur erstmal der Beweis wie es möglich wäre, also eine Testumgebung. Hacker würden diesen Aufwand bei Millionären betreiben und die stattlichen Behörden bei jedem, den sie für verdächtig halten.
Andreas am :
Egal - der Aufwand ist schon ziemlich hoch
Und der fix - "This vulnerability has been confirmed on the 2015 and 2016 edition of the Amazon Echo however the 2017 edition is not vulnerable to this physical attack. The mitigation implemented by Amazon was to join the Plus3V input pad with the MOSI/CMD pad somewhere on the main board, this effectively disables SPI communications with an external SD Card, preventing external booting. '
Naja - wer so versiert ist, die Belegung des Pads zu finden, eine ext. Sd zu konfigurieren, der wird durch die Ma\337nahme nicht aufgehalten werden
Sascha Bürk am :
Und wer kauft einen Echo bei eBay?