Überall dort, wo Technologie durchdringt, sind Hacker nicht weit entfernt, was bedeutet, dass Ihr Alexa-Lautsprecher – sei es ein Echo Dot oder Echo Show – bereits auf dem Radar der Bösewichte ist.

Da Alexa ständig auf Befehle wartet, sind intelligente Lautsprecher perfekte Abhörgeräte – wenn die Bösewichte die ihnen auferlegte Sicherheit umgehen können. Rufen Sie das Bellen der rechtschaffenen Empörung von Ich-hab-es-dir-so-sags überall, die wussten, dass es eine schlechte Idee war, Amazon in Ihr Haus einzuladen.

Es war im August 2017, als dieser hochkarätige Hack zum ersten Mal ans Licht kam. Mark Barnes von MWR Labs beschäftigte sich mit seinem Lötkolben, tat, woran der Durchschnittsbürger nur schwer denken würde, und zog die Art von beeindruckendem Machbarkeitsnachweis, der leicht verfeinert und an diejenigen mit weit weniger technischen Fähigkeiten verkauft werden konnte.

Schändliche Ziele könnten dann überall zwischen einfachem Abhören und dem Diebstahl des Amazon-Kontos eines Benutzers liegen. Böses Zeug.

Der alarmierende Teil ist, dass Barnes's nicht die einzige Art von Hack ist, die eine Person ausführen könnte, um Ihr Amazon Echo dazu zu bringen, Dinge zu tun, die Sie lieber nicht tun würden. Wie besorgt sollten Besitzer einer Alexa also sein? Nun, hier ist, worauf Sie achten müssen und wie Sie verhindern können, dass es Ihnen passiert.

Stimme hockt

Eines der größten Sicherheitsrisiken rund um Alexa sind derzeit Fake Skills – auch bekannt als Voice Squatting. Forscher der Indiana University waren in der Lage, Fähigkeiten zu registrieren, die wie beliebte Amtsinhaber klangen, indem sie Akzente und falsche Aussprachen verwendeten, um unabsichtliche Installationen zu erzwingen.

Die Studie erstellte Alexa-Fähigkeiten und Google-Aktionen, die leichte Nuancen in den Befehlen der Menschen aufsaugten. In dem Beispiel haben sie Skills erstellt, die mit Capital One Skill (einer Banking-App) spielten, um eine gefälschte App für „Alexa, starte Capital Won” oder „Capital One Please” zu installieren.

Amazon hat einen Exploit geschlossen, den Skills verwenden könnten, um das Zuhören über Ihren Smart Speaker zu öffnen, was ihn effektiv in ein Abhörgerät verwandeln würde.

Es ist jedoch immer noch eine gute Aufgabe, die installierten Skills über die Alexa-App zu überwachen. Da einige Skills nach Zahlungsinformationen suchen und sich mit anderen Diensten verbinden können, und die Barriere für die Installation von Skills niedrig ist, ist dies ein Problem, das möglicherweise nicht so schnell verschwindet.

Der Barnes-Hack: Das Echo in ein Abhörgerät verwandeln

Barnes hatte eine gute alte Ausgrabung am Echo und entdeckte, dass man die Gummibasis der Modelle der ersten Ausgabe entfernen konnte, um einige Zugangspunkte freizulegen, die vermutlich damals für Fehlertests verwendet wurden.

Er verkabelte einen SD-Kartenleser mit einem dieser Terminals und fuhr dann fort, den Mutha mit den gewünschten Softwarezusätzen zu rooten. Um Echo in ein Abhörgerät zu verwandeln, griff er auf sein ständig eingeschaltetes Mikrofon zu und leitete alles, was es hörte, an ein entferntes Computerterminal an einem anderen Ort. Presto, ein Smart-Home-Abhörgerät.

Das Kleingedruckte ist, dass der Gummiboden und die externe Zugangsverbindung nur bei den Echos der ersten Ausgabe aus den Jahren 2015 und 2016 vorhanden sind. Spätere Modelle haben diese Funktion nicht.

Barnes' Echo hat vielleicht etwas verdächtig ausgesehen mit all den Drähten, die aus ihm herausragen, aber es gibt viel Spielraum für die Feinabstimmung des Hacks, um alle Kleinigkeiten unsichtbar zu halten.

Wie man es stoppt

Nun, wenn Sie Ihr Echo 2017 oder später gekauft haben, sind Sie automatisch immun gegen dieses.

Für alle anderen ist die einfache Lösung, niemanden sozusagen mit einer Lötlampe und einer Zange an Ihrem Echo arbeiten zu lassen.

Natürlich könnte die Manipulation vorgenommen werden, bevor Sie das Ding überhaupt gekauft haben, also stellen Sie sicher, dass Sie direkt bei Amazon kaufen.

Drücken Sie schließlich für den vollen Gürtel- und Hosenträgereffekt die Stummschalttaste oben auf dem Echo, wenn Sie etwas sagen, das Sie wirklich nicht hören möchten. Laut Barnes gibt es keine Möglichkeit, dies per Software zu deaktivieren.

Der Connected-Home-Hack: „Alexa, öffne die Haustür”

Sie können Echo als Zentrum Ihres Smart-Home-Arrays einrichten. Es ist einfach zu machen und wir würden sicherlich niemandem davon abraten. Es ist jedoch zu bedenken, dass Alexa mit jedem sprechen wird.

Der virtuelle Assistent von Amazon hat keinerlei Authentifizierungsbeschränkungen für die Spracherkennung. Wenn Sie also Echo in Hörweite der Außenwelt bringen, könnte theoretisch ein Fremder, der in der Nähe Ihrer Fenster oder Ihrer Haus- oder Hintertür steht, anfangen, Anfragen an Alexa zu stellen. So könnten sie Ihnen das Licht aus- und einschalten, Ihre Heizung manipulieren oder möglicherweise sogar Ihre Türen entriegeln.

Nun, hier ist das massive ABER. Smart Locks, die Echo-fähig sind, verfügen normalerweise über eine zweite Sicherheitsebene.

So kommt zum Beispiel das August Smart Lock Pro mit der Anforderung, dass Sie eine vierstellige PIN einrichten, die Sie gleichzeitig mit dem Entsperrbefehl sagen müssen, und das sollte ausreichen, um die Dinge sicher zu halten.

Andere erfordern, dass sich Ihr Mobiltelefon in Bluetooth-Reichweite des Schlosses befindet, und das Yale-Modell erlaubt überhaupt kein Entsperren durch Echo. Abgesehen davon, dass jemand in den Büschen an Ihrer Haustür lauert und nach Ihrer PIN lauscht, sind Sie hier ziemlich sicher.

Wie man es stoppt

Sie müssen sich nicht zu sehr damit beschäftigen, Ihr Echo von Türen und Fenstern entfernt zu positionieren, denn wenn ein Einbrecher mit Ihrer Alexa sprechen wollte, könnte er das wirklich.

Alles, was es dazu brauchte, wäre ein guter Ruf in Ihrem Briefkasten. Stattdessen besteht die einfache schnelle Lösung darin, diese sekundäre Schutzebene nicht von Ihrem Smart Lock zu entfernen, egal wie viel schneller Sie denken, dass Sie durch Ihre Haustür gelangen. Entweder das oder verbinden Sie Ihr Smart Lock überhaupt nicht mit Ihrem Echo.

Der Chassis-Hack: Wolf in Alexas Kleidung

Es sieht aus wie ein Echo, es klingt wie ein Echo, aber ist es wirklich ein Echo? Es wäre möglich, dass jemand seine eigene Version eines Sprachassistenten mit völlig anderen und bösen Zwecken entwirft und ihn dann einfach in eine Amazon Echo-Shell haut und an einen ahnungslosen Kunden verkauft.

Es wäre einfach genug, Alexas Stimme aufzuzeichnen, indem Sie ein echtes Echo bitten, Sätze für Sie zu wiederholen, aber könnten Sie wirklich genug Antworten aufzeichnen, um den Benutzer von Ihrer List abzuhalten?

In Wirklichkeit müssten Sie das Spiel nur lange genug durchhalten, um Kontodaten oder was auch immer Sie sonst noch ziehen wollten, zu sammeln.

Wenn jemand wirklich wollte, könnte er sich natürlich hinsetzen und Antworten in Echtzeit für die falsche Alexa in den Mund zurückschreiben, aber das ist mehr als ein Vollzeitjob. Wahrscheinlich nur für ernsthafte Spionage.

Wie man es stoppt

Kaufen Sie Ihr Echo bei Amazon.

The DolphinAttack: ‘Hat Flipper gerade etwas gesagt?'

Nein, eine Herde von Flaschennasensäugetieren wird nicht in Ihre Küche eindringen. Stattdessen wird hier ihr heimtückisch cleveres Ultraschall-Kommunikationsmittel nachgeäfft.

Es stellt sich heraus, dass Alexa – und tatsächlich alle Maschinen, die sich mit Spracherkennung befassen; alles mit Siri, Google Assistant usw. – alle können Dinge hören, die wir nicht hören können.

Sie wurden entwickelt, um Frequenzen jenseits des menschlichen Bewusstseins zu verstehen, was bedeutet, dass Sie Alexa und Freunde bitten können, zu tun, was immer Sie wollen, wenn Sie die richtige Hardware besorgen können, die übrigens nur ein paar Dollar kostet ohne dass es jemand hört.

Das kann die Deaktivierung der Smart-Home-Sicherheit sein, das Bestellen aller möglichen Leckereien, das Anrufen von Premium-Tarifnummern und Gott weiß was noch. Cleveres Zeug.

Dafür kannst du den Genies drüben an der Zhejiang University danken.

Wie man es stoppt

Nun, die gute Nachricht ist, dass Ultraschallfrequenzen nicht so gut durch Wände und Glas dringen, sodass Sie sich innerhalb weniger Zentimeter von Echo befinden müssen, damit der DolphinAttack funktioniert.

Darüber hinaus würde Alexa wiederholen, was ihr gesagt wurde, bevor sie die Operation durchführt. Selbst wenn Sie jemand bereits in das Smart Home gelassen hat, wird er wahrscheinlich früh genug hören, was Sie vorhaben.

Laser-Hack

Die Logik legt nahe, dass die Verwendung von Ton der naheliegende Weg wäre, sich in ein sprachaktiviertes Gerät zu hacken, aber Ende 2019 entdeckten Forscher der University of Electro-Communications in Tokyo und der University of Michigan, dass sie das Mikrofon eines intelligenten Lautsprechers mit einem aktivieren könnten Laser.

Indem sie die Intensität des Lichts bei einer bestimmten Frequenz variierten, stellten sie fest, dass sie den Lautsprecher dazu bringen konnten, es in ein elektrisches Signal umzuwandeln, was bedeutete, dass sie nur eine Sichtlinie brauchten, um lautlos mit so ziemlich allem mit einem eingebauten zu „sprechen”. Mikrofon – ein Echo, Google Home und die Portal-Reihe von Facebook.

Mit verschiedenen „Lichtbefehlen” gelang es ihnen, vernetzte Lichter ein- und auszuschalten, Garagentore zu öffnen und Online-Einkäufe zu tätigen – und das alles aus über 100 Metern Entfernung.

Wie man es stoppt

Bis jemand die Funktionsweise der Mikrofone ändert, ist dies eine Schwachstelle, die nicht verschwinden wird, aber in der Zwischenzeit gibt es eine einfache Lösung: Bewegen Sie Ihr Echo von allen Fenstern weg, um es Bösewichten zu erschweren, einen Laser darauf zu richten.

Sprachverlauf hacken

Dies ist eine Erweiterung des „Voice Squatting”, das im August 2020 von der Cybersicherheitsfirma Check Point Research entdeckt wurde (und seitdem von Amazon behoben wurde), aber es lohnt sich, sich darüber im Klaren zu sein, was eine schändliche Fähigkeit sonst noch anrichten kann.

CPR stellte fest, dass Ihr gesamter Sprachverlauf einem Hacker mit nur einem Klick auf einen betrügerischen Link zur Verfügung gestellt werden konnte, der heimlich eine betrügerische Fähigkeit installierte.

Es hat keinen großen Wert, stundenlange Aufzeichnungen von Ihnen zu klauen, wie Sie Timer einstellen und Ihre Lichter ein- und ausschalten, aber die Daten könnten möglicherweise verwendet werden, um Sprachüberprüfungssysteme auszutricksen und sogar Audio-Deepfakes zu erstellen.

Auch hier gibt es in der Hacker-Community wahrscheinlich keinen großen Appetit darauf, gefälschte Gespräche zu führen, an denen zufällige Mitglieder der Öffentlichkeit beteiligt sind, aber es ist gut zu wissen, was möglich ist.

Wie man es stoppt

Wie oben erwähnt, hat Amazon diese Lücke jetzt geschlossen und es gab keine Beweise dafür, dass sie jemals ausgenutzt wurde, aber wenn Sie sich Sorgen darüber machen, wie viel von Ihrem Sprachverlauf gespeichert wird, können Sie alles so einstellen, dass es regelmäßig gelöscht wird.

Öffnen Sie zunächst die Alexa-App auf Ihrem Telefon und wählen Sie das Menü Mehr in der unteren rechten Ecke. Tippen Sie dann auf Einstellungen und wählen Sie Alexa Datenschutz. Wählen Sie auf dem angezeigten Bildschirm „Verwalten Sie Ihre Alexa-Daten” und Sie können Amazon anweisen, alle Ihre Sprachbefehle zu löschen, sobald Ihr Echo darauf geantwortet hat, sie drei Monate lang oder 18 Monate lang zu speichern.

Standardmäßig werden sie alle gespeichert, bis Sie sich entscheiden, sie zu löschen. Sie können dies tun, indem Sie Ihr Echo einfach bitten, alles zu löschen, was Sie für einen bestimmten Zeitraum gesagt haben, oder indem Sie zum Abschnitt „Sprachverlauf überprüfen” des Alexa-Datenschutzmenüs gehen, wo Sie es direkt auf bestimmte Zeiträume und genaue Daten aufschlüsseln können.