Amazon Alexa-Geräte sind ab 2026 überraschend sicher, auch wenn sie immer noch auf ihr Passwort hören. Es gibt keine allgemein bekannten, ungepatchten Exploits, die es Angreifern ermöglichen, aktuelle Alexa-Geräte aus der Ferne zu übernehmen. Bei den meisten dokumentierten Angriffen müssen sich böswillige Akteure physischen Zugriff auf den Smart Speaker verschaffen oder Benutzer zum Handeln verleiten. Wenn es jemandem gelingt, auf die Bluetooth-Funktion Ihrer Alexa zuzugreifen und die Verbindung erfolgreich herzustellen, kann er möglicherweise über zuvor aufgezeichnete Töne die Kontrolle übernehmen, muss sich aber auch hier physisch auf Ihrem Grundstück aufhalten.
Das heißt nicht, dass die Alexa-Hardwarelinie unfehlbar ist. Forscher haben im Laufe der Jahre mehrere Möglichkeiten aufgezeigt, Lautsprecher zu kapern, aber Amazon ist relativ schnell dabei, gemeldete Schwachstellen zu schließen. Im Jahr 2022 veröffentlichten Forscher einen Artikel, der eine der neuesten Angriffsmethoden demonstrierte. Dies erforderte jedoch noch eine vorherige Vorbereitung und den Zugriff auf das Gerät.
Seit Amazon im Jahr 2014 Alexa-fähige Geräte auf den Markt brachte, ist die Zahl echter, öffentlich dokumentierter Hacks relativ gering geblieben. Schwerwiegendere Angriffe richteten sich gegen Überwachungskameras in Innenräumen, aber das Mithören von Gesprächen ist immer noch ein Problem, wenn Sie eine Alexa im Haus haben. Allerdings erfordern viele detaillierte Hacks eine umfangreiche Einrichtung und wiederum physischen Zugriff auf das Gerät.
Alexa-Hacks haben so viele Anforderungen
Im Jahr 2017 gelang es dem britischen Unternehmen MWR Labs, einen Echo der ersten Generation in ein Abhörgerät umzuwandeln. Dies geschah durch Öffnen der Basis, die bei diesen frühen Iterationen ab Werk über Metallpads für den Anschluss an die interne Hardware des Geräts verfügte. Mit etwas Einfallsreichtum von MacGyver konnten Forscher mithilfe benutzerdefinierter Malware die vollständige Kontrolle über Alexa übernehmen.
Im folgenden Jahr berichtete eine Frau, dass ein Alexa-Gerät eine Sprachnachricht an einen zufälligen Kontakt auf ihrer Liste gesendet habe. Amazon bestand darauf, dass dies darauf zurückzuführen sei, dass das Spracherkennungssystem die Wörter „Alexa“ und „Nachricht senden“ falsch verstanden habe. Ebenfalls im Jahr 2018 erklärten Forscher auf der DEF CON 26, wie sie (neben anderen Smart-Home-Hubs) eine Alexa gehackt und in deren Software eingebrochen sind, um sie zu manipulieren. Auch hierfür war ein physischer Zugang erforderlich.
Weitere Untersuchungen von SR Labs im Jahr 2019 ergaben, dass ein bösartiger Alexa-Skill möglicherweise für „Vishing“ oder Voice-Phishing verwendet werden könnte, um Benutzer dazu zu verleiten, ihre Passwörter preiszugeben. Später veröffentlichten die Forscher eine vollständige Demo, die die Funktionsweise des Angriffs zeigte, und behaupteten, Amazon habe das Problem sechs Wochen nach der Offenlegung nicht behoben.
Die Leute raubkopieren jetzt ihre eigenen Amazon Echo Shows
Check Point Research entdeckte im Jahr 2020 außerdem eine Schwachstelle, die es Angreifern ermöglichen könnte, Alexa-Apps und -Skills zu entfernen oder zu installieren. Anstatt sich physischen oder vollständigen Zugriff auf das Gerät zu verschaffen, bestand dieser Angriff darin, Benutzer dazu zu verleiten, auf einen schädlichen Link zu klicken. Laut Check Point könnte ein erfolgreicher Angriff dazu geführt haben, dass Passwörter, persönliche Informationen und der Sprachverlauf offengelegt und Fertigkeiten „heimlich“ installiert, eingesehen oder gelöscht wurden. Wie bei vielen Phishing-Angriffen hing der Exploit davon ab, dass das Opfer auf einen bösartigen Link klickte. Amazon hat die Sicherheitslücke behoben, bevor sie sich verbreitete.
Seit 2022 sind neu aufgedeckte Alexa-Schwachstellen seltener geworden, aber das Jailbreaken älterer oder inzwischen veralteter Echo-Geräte ist bei einigen Kunden, die nicht bereit sind, der geplanten Veralterung nachzugeben, mittlerweile zur Norm geworden. Derzeit sind Echo Show 5 (erste und zweite Generation) und Echo Show 8 die einzigen Amazon Alexa-Geräte mit bestätigten Community-Jailbreaks. Ob sich diese Geräte noch lohnen, ist eine ganz andere Frage.