0

Achtung, Blueborne: Sicherheitslücke bei Amazon Echo und Google Home

by tobias18. November 2017

Im Grunde war es nur eine Frage der Zeit, bis eine Sicherheitslücke im immer beliebter werdenden Amazon Echo entdeckt wird. Seit September diesen Jahres ist das Problem bekannt, nun wurde es publik. Die sogenannte BlueBorne-Schwachstellensammlung zeigt auf, wie man den Amazon Echo via Bluetooth in seine Kontrolle bringen könnte. Ein Update steht allerdings schon bereit.

Bluetooth ist das Einfallstor, über welches Angreifer mittels BlueBorne ein etwaiges Echo-Gerät in ihre Kontrolle zu bringen vermögen. Dies hat das IT-Sicherheitsunternehmen ARMIS mitgeteilt. Um aber gleich etwas Ruhe in die Situation zu bringen: Es gibt Einschränkungen, denn wer seine Alexa mit automatischen Updates versorgt, sollte zumindest teilweise wieder auf der sicheren Seite sein.

Amazon Echo Sicherheit: Wie funktioniert BlueBorne?

Die schon im September entdeckte Sicherheitslücke im Bluetooth-Protokoll erlaubt es potentiellen Angreifern beliebigen Code auf dem Echo auszuführen (siehe (CVE-2017-1000251) – und somit das Gerät komplett unter ihre Kontrolle zu bringen.

Zwei der seit September bekannten Schwachstellen, die seitens BlueBorne ausgenutzt werden, ermöglichen zum einen das Abfangen von Daten und zum anderen sogenannte denial-of-service-Angriffe (siehe CVE-2017-1000250). Doch auch das Ausführen beliebigen Codes auf dem Echo ist dank der Bluetooth-Sicherheitslücke im Gerät mögliche (siehe CVE-2017-1000251).

Interessantes Detail: Auch der Google Home Smartspeaker ist von der BlueBorne-Sicherheitslücke betroffen (siehe CVE-2017-0785).

Zwar gibt es bereits Updates, die sich der BlueBorne-Lücke widmen, doch gänzlich schließen konnten sie diese nicht. Befindet sich ein potentieller Angreifer nicht in der Ferne, sondern in unmittelbarer Nähe zum Bluetooth-Gerät (ungefähr 10 Meter), so bleibt BlueBorne weiterhin aktiv. Der Grund: Amazon Echo wie auch der Google Home suchen permanent nach koppelbaren Bluetooth-Geräten in ihrer Nähe.

So ließe sich per BlueBorne beispielsweise die Alarmanlage des Hauses per Alexa entschärfen – oder das Smart Lock öffnen, sollt der Angreifer direkt an der Tür stehen. Zumindest dann, wenn beide mit dem Amazon Echo verbunden sind. Abschalten lässt sich die Bluetooth-Funktion im Echo leider nicht.

Wie schützt man sich vor BlueBorne?

amazon-echo-2-generationWie bereits erwähnt, sind die Hersteller Amazon sowie Google bereits über die Sicherheitslücke informiert. Amazon stellt seinerseits mit der aktuellsten Firmware (mindestens ab Version v591448720) einen Patch bereit. Ob dies jedoch ausreicht, Angreifer aus der direkten Nähe abzuwehren, ist noch nicht hinlänglich geklärt.

Wer also sein Smart Home mit Amazon Echo verbunden hat und dies auch für Sicherheitsaufgaben konfiguriert hat, sollte zumindest temporär diese Funktion aus Alexa ausgliedern, heißt es.

Hier ein Video von BlueBorne in Aktion:

About The Author
tobias
Tobias ist News-Redakteur auf siio.de und privat mondäner Hausherr einer Z-Way-Installation mit HomeKit-Anbindung - Hallo aus Berlin.

Leave a Response