Digital Life
27.04.2018

Sicherheitsforscher verwandeln Amazon Echo in Abhörwanze

Symbolbild. Ein Amazon Echo Dot. © Bild: AP/Elaine Thompson

Eine Designschwäche im Alexa-SDK erlaubt es Angreifern, mithilfe eines Echo-Lautsprechers mitzuhören.

Amazons sprachgesteuerter Lautsprecher Echo lässt sich relativ einfach in eine Wanze verwandeln. Das haben Experten des Sicherheitsunternehmens CheckMarx herausgefunden. Dazu wurden Designschwächen im Alexa-SDK ausgenutzt. Diese erlauben einem Skill unbemerkt aktiv zu bleiben und dabei die transkribierten Aussagen eines Nutzers zu übermitteln.

Das haben die Sicherheitsforscher am Beispiel einer Taschenrechner-App und eines Echo Dot demonstriert. Der Nutzer startet die App, die sich jedoch nicht automatisch beendet, sondern per Befehl beendet werden muss. Deutlich wird das lediglich anhand des blauen Lichts am Lautsprecher, der zeigt, dass das Mikrofon weiterhin aktiv ist.

Log-Funktion ausgenutzt

Um die Aussagen eines Nutzers der richtigen Funktion zuzuordnen, müssen sogenannte „Utterances“ (Äußerungen) definiert werden. Wie CheckMarx festgestellt hat, können hier auch sinnlose Wörter definiert werden, die nie im Alltag verwendet werden, beispielsweise „gdhdf“. Jene Aussagen, die keiner Funktion zugeordnet werden können, können von Entwicklern in eine Log-Datei übertragen und später abgerufen werden.

Das dient eigentlich der Verbesserung der Skills: Falls Nutzer besonders häufig Wörter oder Satzkonstruktionen verwenden, die der Entwickler nicht berücksichtigt hat, können diese nachträglich hinzugefügt werden. Kurioserweise können Entwickler auch den Text für eine Nachfrage entfernen, sodass Alexa, sofern kein korrekter Befehl erkannt wurde, stumm bleibt.

Nur eingeschränkte Gefahr

Inwiefern die beschriebene Methode jedoch tatsächlich Anwendung finden kann, ist unklar. Einerseits sieht der Nutzer anhand des Lichts am Lautsprecher, dass dieser weiterhin aufzeichnet. Zudem dürfte ein Alexa Skill mit derartigen Funktionen wohl kaum eine Prüfung durch Amazon bestehen. Daher ist es unwahrscheinlich, dass Skills mit Lauschfunktion im Amazon Store gelandet sind. Amazon hat jedoch bereits ein Update veröffentlicht, das Nutzer warnt, wenn Alexa für eine längere Zeit zuhört.