Beveiligingsonderzoekers van het bedrijf MWR Infosecurity hebben een kwetsbaarheid ontdekt in de Amazon Echo waarmee hij door kwaadwillenden kan worden omgebouwd tot afluisterapparaat. Dankzij een fysieke hack wordt het mogelijk om op afstand mee te luisteren naar je gesprekken.

In een blog post legt Mark Barnes van MWR uit dat iedere Echo is uitgerust met 18 debug poorten. Dat zijn metalen poorten die kunnen worden gebruikt om verschillende aspecten van de functionaliteit van het operating system te testen. Deze poorten zitten verstopt in de rubberen voet van de Echo. Door een geprepareerde SD kaart aan de juiste ingangen te bevestigen krijgt een hacker toegang tot het volledige operating system van de Echo. Zonder dat hij zich hoeft aan te melden.

Toegang tot Amazon account gebruiker

Dankzij deze hack is hij in staat om de Echo om te bouwen tot afluisterapparaat. Ook heeft hij toegang tot de Amazon account van de gebruiker en kan hij in principe alles doen wat hij wil. En dat zonder dat de normale functionaliteit van de Echo wordt aangetast of dat er signalen zijn dat er mee is gerommeld.

Geen verrassing

Moeten we ons nu zorgen gaan maken? Niet echt. Voor ingewijden in cybersecurity is dit soort kwetsbaarheid totaal geen verrassing. Een Echo blijft toch gewoon een IoT apparaat met een microfoon. Voor de hack is het ook noodzakelijk om fysieke toegang te hebben tot het apparaat. Dat maakt het lastig voor hackers. Daarbij moet je als hacker behoorlijk goed zijn met Linux en embedded hardware.

Alleen de versies vóór 2017 zijn kwetsbaar

Mocht je je toch zorgen maken dat iemand met jouw Echo gaat rommelen dan wordt het misschien tijd voor een update van het model. De kwetsbaarheid is namelijk alleen bij apparaten die vóór 2017 zijn gemaakt.