{"id":111303,"date":"2017-08-03T09:14:59","date_gmt":"2017-08-03T07:14:59","guid":{"rendered":"https:\/\/www.ifun.de\/?p=111303"},"modified":"2017-08-03T09:15:44","modified_gmt":"2017-08-03T07:15:44","slug":"amazon-echo-umbau-zur-wanze-war-moeglich","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/amazon-echo-umbau-zur-wanze-war-moeglich-111303\/","title":{"rendered":"Amazon Echo: Umbau zur Wanze war m\u00f6glich"},"content":{"rendered":"

Ohne den Funktionsumfang des Amazon Echo<\/a> zu beschneiden lassen sich einzelne Modelle des intelligenten Lautsprechers in eine daueraktive Wanze verwandeln, die ihre Mikrofon-Eingaben kontinuierlich streamen und an fremde Server \u00fcbertragen kann. <\/p>\n

\"Echo<\/a><\/p>\n

Darauf macht der Security-Experte Mark Barnes, seinerseits als Sicherheitsforscher bei MWR InfoSecurity aktiv, in dem Blog-Eintrag Alexa, are you listening?<\/a> aufmerksam. Beim beschriebenen Angriff handelt es sich um ein Bastelprojekt, das eher nicht in freier Wildbahn angetroffen werden d\u00fcrfte, sich unter Laborbedingungen aber durchaus nachbauen l\u00e4sst. <\/p>\n

Die Voraussetzungen zum Bau der Echo-Wanze sind der physikalische Zugriff auf die verwundbaren Modelle von 2016 und ein Root-Zugang zum Basis-Betriebssystem des Lautsprechers, der auf eine Linux-Variation setzt. <\/p>\n

Ist der Root-Zugang etabliert (laut Barnes eine „triviale H\u00fcrde“) l\u00e4sst sich das Betriebssystem so manipulieren, dass die daueraktiven Mikrofone den Raum kontinuierlich belauschen. <\/p>\n

The Amazon Echo is vulnerable to a physical attack that allows an attacker to gain a root shell on the underlying Linux operating system and install malware without leaving physical evidence of tampering. Such malware could grant an attacker persistent remote access to the device, steal customer authentication tokens, and the ability to stream live microphone audio to remote services without altering the functionality of the device.<\/p><\/blockquote>\n

Eine interessante Erkenntnis: Die „H\u00f6r mir nicht zu“-Taste auf der Oberseite des Echo unterbricht den Schaltkreis der verbauten Mirkofone und l\u00e4sst sich auch mit entsprechenden Software-Manipulationen nicht aushebeln. <\/p>\n

Die kurze Zusammenfassung: Echo-Einheiten, die vor 2017 verkauft wurden k\u00f6nnen unter erheblichem Zweiteinsatz zu einer Wanze umgebaut werden, die sich anschlie\u00dfend zum Beispiel in Hotelzimmern aufstellen l\u00e4sst und, als vollfunktionaler Echo, erst mal keinen Anlass zur Skepsis bieten sollte. <\/p>\n

Der Echo l\u00e4sst sich nach aktuellem Erkenntnisstand weder aus dem Netz angreifen noch ohne physikalischen Zugriff \u00fcbernehmen. <\/p>\n","protected":false},"excerpt":{"rendered":"\"Echo<\/a>

Ohne den Funktionsumfang des Amazon Echo zu beschneiden lassen sich einzelne Modelle des intelligenten Lautsprechers in eine daueraktive Wanze verwandeln, die ihre Mikrofon-Eingaben kontinuierlich streamen und an fremde Server \u00fcbertragen kann. Darauf macht der Security-Experte Mark Barnes, seinerseits als Sicherheitsforscher bei MWR InfoSecurity aktiv, in dem Blog-Eintrag Alexa, are you listening? aufmerksam. Beim beschriebenen Angriff […]<\/p>\n","protected":false},"author":1,"featured_media":111305,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[2560,27],"class_list":["post-111303","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-echo","tag-hacks"],"acf":[],"aioseo_notices":[],"subheadline":["Erfolgreicher Lauschangriff"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/11\/amazon-echo-header.jpg"],"rest_api_enabler":{"subheadline":"Erfolgreicher Lauschangriff","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/11\/amazon-echo-header.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/111303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=111303"}],"version-history":[{"count":4,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/111303\/revisions"}],"predecessor-version":[{"id":111308,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/111303\/revisions\/111308"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/111305"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=111303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=111303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=111303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}