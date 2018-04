Das haben die Sicherheitsforscher am Beispiel einer Taschenrechner-App und eines Echo Dot demonstriert. Der Nutzer startet die App, die sich jedoch nicht automatisch beendet, sondern per Befehl beendet werden muss. Deutlich wird das lediglich anhand des blauen Lichts am Lautsprecher, der zeigt, dass das Mikrofon weiterhin aktiv ist.

Log-Funktion ausgenutzt

Um die Aussagen eines Nutzers der richtigen Funktion zuzuordnen, müssen sogenannte „Utterances“ (Äußerungen) definiert werden. Wie CheckMarx festgestellt hat, können hier auch sinnlose Wörter definiert werden, die nie im Alltag verwendet werden, beispielsweise „gdhdf“. Jene Aussagen, die keiner Funktion zugeordnet werden können, können von Entwicklern in eine Log-Datei übertragen und später abgerufen werden.

Das dient eigentlich der Verbesserung der Skills: Falls Nutzer besonders häufig Wörter oder Satzkonstruktionen verwenden, die der Entwickler nicht berücksichtigt hat, können diese nachträglich hinzugefügt werden. Kurioserweise können Entwickler auch den Text für eine Nachfrage entfernen, sodass Alexa, sofern kein korrekter Befehl erkannt wurde, stumm bleibt.

Nur eingeschränkte Gefahr

Inwiefern die beschriebene Methode jedoch tatsächlich Anwendung finden kann, ist unklar. Einerseits sieht der Nutzer anhand des Lichts am Lautsprecher, dass dieser weiterhin aufzeichnet. Zudem dürfte ein Alexa Skill mit derartigen Funktionen wohl kaum eine Prüfung durch Amazon bestehen. Daher ist es unwahrscheinlich, dass Skills mit Lauschfunktion im Amazon Store gelandet sind. Amazon hat jedoch bereits ein Update veröffentlicht, das Nutzer warnt, wenn Alexa für eine längere Zeit zuhört.