Der Sicherheitsforscher Mark Barnes von MWR InfoSecurity konnte ein Amazon Echo dazu nutzen, um dessen Besitzer heimlich zu belauschen: Die Unterseite des Lautsprechers lässt sich entfernen, um über Kontakte direkt an die Firmware heranzukommen. Medienberichten zufolge hinterlässt der Eingriff keine sichtbaren Spuren und lässt den Hacker permanent mithören, ganz wie es normalerweise nur der Prozessor im Gerät selbst macht.
Beruhigend für Besitzer eines der betroffenen Modelle von Amazon Echo, die zwischen 2015 und 2016 verkauft wurden: Für den Hack ist ein physischer Zugang zum Gerät erforderlich. Hat ein Angreifer den allerdings, lässt sich eine Schadsoftware spurlos auf dem Smart-Lautsprecher installieren, die dem Hacker Zugriff zur ständig mithörenden Funktion ermöglicht. Solange das Mikrofon angeschaltet bleibt, lässt sich damit jedes Wort belauschen, das in der Nähe des Echo gesprochen wird.
Dass Amazon Echo mit ein paar Kniffen ein hervorragendes Spionagegerät wird, wenn die virtuelle Assistentin Alexa immer auf ihren Namen horcht, dürfte für Kritiker von IoT-Gerätschaften wenig überraschend sein. Eine großflächige Bedrohung dürfte die Verwundbarkeit dennoch nicht darstellen: Die Notwendigkeit, physischen Zugang zum Gerät zu haben und eine kurze Weile damit alleine zu sein, macht die Installation der Malware ähnlich aufwendig wie die klassische Platzierung einer Wanze durch einen Spion.
Wer ganz sicher gehen will, kann das Mikrofon natürlich einfach abschalten, büßt damit aber auch eine wichtige Funktion von Amazons Assistenz Alexa ein. Für Amazon dürfte sich eine weitreichende Rückrufaktion aufgrund der entdeckten Sicherheitslücke kaum lohnen.
Dieser Artikel erschien zuerst bei Wired.de.