Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.090 Produkten

Fabian A. Scherschel 130

Ältere Amazon Echos lassen sich über Debug-Kontakte rooten

Ältere Amazon Echos lassen sich über Debug-Kontakte rooten

Bild: Amazon

Amazons Echo-Lautsprecher lässt sich rooten, falls man an die Debug-Kontakte unter dem Gerät heran kommt. Angreifer können das Gerät so kapern und alles mithören, was im Umfeld des digitalen Assistenten gesagt wird.

Besitzer älterer Amazon-Echo-Lautsprecher (von 2015 und 2016) sollten vorsichtig sein, wen sie an die Geräte lassen. Sicherheitsforscher haben nun entdeckt, dass Debug-Pads auf der Unterseite des Gerätes mit einer SD-Karte verbunden werden können, um eine eigene Linux-Version zu booten und den digitalen Assistenten zu übernehmen. Neuere Echo-Geräte von 2017 sind nicht angreifbar, da Amazon das Problem offenbar auf Hardware-Ebene abgestellt hat.

Anzeige

Um die Debug-Pads zu erreichen, muss der potenzielle Angreifer erst mal den Gummifuß des Gerätes entfernen. Schließt er eigene Hardware an die Kontakte an, kann er das auf dem Gerät installierte Linux-Betriebssystem mit Root-Rechten booten. Danach ist es ein Leichtes, Änderungen daran vorzunehmen, die angeschlossene Hardware zu entfernen, den Gummifuß wieder zu befestigen und den Echo-Lautsprecher aus der Ferne zu kontrollieren. Ein Angreifer könnte so zum Beispiel alles mithören, was in der Nähe des Gerätes gesagt wird. Oder er könnte den digitalen Assistenten in ein Botnetz einreihen.

Entdeckt hat die Sicherheitslücke die Sicherheitsfirma MWR Labs. Die Forscher berufen sich dabei auf die Vorarbeit anderer Hacker, welche die Debug-Schnittstelle dokumentiert hatten. In ihrem Blog beschreiben sie die Lücke im Detail und geben Tipps, wie man erkennen kann, ob der eigene Echo angreifbar ist. Sie weisen außerdem darauf hin, dass der Stummschalten-Knopf am Echo das Mikrofon von Strom trennt. Das lässt sich softwareseitig nicht beeinflussen – ist der Knopf aktiv, kann auch ein Angreifer mit Root-Rechten auf dem Gerät nicht mithören. (fab)

130 Kommentare

Themen:

Anzeige
  1. BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

  2. Amazon stellt Echo-Lautsprecher mit Touchscreen vor

    Amazon Echo

    Der Online-Händler Amazon spendiert seinem erfolgreichen Echo-Lautsprecher einen Bildschirm, berichtet das Wall Street Journal. Der Konzern kämpft darum, seinen Vorsprung bei solchen Geräten gegen die wachsende Konkurrenz abzusichern.

  3. Amazon Echo unterstützt Multiroom-Musikwiedergabe

    Amazon Echo

    Mit der Alexa-App kann man jetzt mehrere Echo-Geräte gruppieren, um Musik synchron wiederzugeben. Auch andere Hersteller von smarten Lautsprechern können sich über Alexa Voice Service in die Multiroom-Wiedergabe einklinken.

  4. Alexa zieht in Kopfhörer, Smartwatches und Mikrowellen ein

    Amazon Echo

    Amazons Sprachassistentin Alexa soll in weitere Geräte einziehen. Bose und Beyerdynamic bauen Bluetooth-Kopfhörer mit Alexa-Anbindung, Whirlpool werkelt an Alexa-Mikrowellen.

  1. Amazon Echo: Alexa einrichten

    Sie haben sich ein neues Amazon Echo Gerät gekauft und möchten nun Alexa aktivieren? Wir zeigen Ihnen, wie das geht.

  2. Amazon Echo: Aktivierungswort ändern

    Sie möchten Ihr Amazon Echo Gerät nicht mehr Alexa nennen? Wie Sie einen anderen Rufnamen auswählen, zeigen wir Ihnen hier.

  3. Aufwachen mit Alexa

    Aufwachen mit Alexa

    Der Echo Spot holt die Amazon-Assistentin Alexa in ein Gerät von der Größe eines Radioweckers.

  1. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  2. Vorstellung: BMW Concept iX3

    BMW concept iX3

    Der BMW iX3 nutzt als erster BMW die neue eDrive Plattform. Die technischen Daten sind vorläufig: über 200 kW Motorleistung, über 400 km Reichweite, über 70 kWh Batteriekapazität. Gebaut wird der iX3 vorerst in China. Dort wurde nun auch das induktive Laden für den 530e vorgestellt

  3. Fachkräfte: Klimaziele erfordern 100.000 Handwerker mehr für Sanierungen

    Fachkräfte, Fachkräftemangel, Arbeitsplätze

    Fachkräfte, darunter Handwerker und Techniker für Heizungs- und Anlagensteuerung, fehlen massiv, wenn die energetische Sanierung von Häusern zur Erreichung der deutschen Klimaziele durchgeführt werden soll.

  4. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

Anzeige