Sicherheit von Alexa

Hier geht es um grundlegende Diskussionen bezüglich der Amazon Echo Systeme.
Benutzeravatar

robin.h
Beiträge: 871
Registriert: Sa 10. Dez 2016, 17:25
Wohnort: Berlin
Vorhandene Echos: 9

Mi 27. Dez 2017, 18:57

uwurde doch schon versucht... und mehrmals bestätigt, dass Alexa nicht ungefragt sendet.

Wie gesagt: vor ein paar Tagen gab es einige Schlagzeilen, dass Alexa auch ohne Hotword sendet, aber das bezog sich eben auf ähnliche Wörter wie Alexander...
keine Ahnung, warum da kurz eine Sau durch das Dorf getrieben wurde, weil das sicher fast jeder Echo User schon wusste... und man es eben auch sieht.

hier die Sau: https://www.pcwelt.de/a/verbraucherschu ... lt,3449195
0 x
Benutzeravatar

Themenstarter
Nini
Beiträge: 23
Registriert: Sa 29. Apr 2017, 13:20

Mi 27. Dez 2017, 19:03

Naja, das ist ja dann auch schon mal was^^
0 x
Benutzeravatar

robin.h
Beiträge: 871
Registriert: Sa 10. Dez 2016, 17:25
Wohnort: Berlin
Vorhandene Echos: 9

Mi 27. Dez 2017, 19:06

und hier etwas mehr zur Hotworderkennung https://www.swr.de/swr2/wissen/wie-sich ... index.html

edit: falscher link... jetzt stimmt er
Zuletzt geändert von robin.h am Mi 27. Dez 2017, 19:09, insgesamt 1-mal geändert.
0 x
Benutzeravatar

cyberandi
Beiträge: 77
Registriert: So 8. Okt 2017, 23:38
Wohnort: München
Vorhandene Echo Dots: 4
Kontaktdaten:

Mi 27. Dez 2017, 21:00

Hallo Zusammen, bin IT-Security Officer, Programmierer und gelernter Telekommunikation-Elektroniker,

Einfach folgenden Test durchführen, dann kann man mitbekommen wann Alexa das Internet benötigt und auch weiterleitet. Das WLAN, Router deaktivieren bzw. das Internet für den Echo im Route/FRITZBox sperren. Dann reagiert der Echo auf das Hotwort (Alexa, Echo, Amazon oder Computer), daher lokale Hotwort-Erkennung in der Hardware, und schaltet auch den blauen Ring ein, aber es kommt der Hinweis daß Alexa nicht verbunden ist, bzw dich nicht versteht. Die Audio-Voice-Files kann man ja auch unter der Alexa-App / Einstellungen / Allgemein / Verlauf / erkannter Text dann über den Play-Button die Audio-Datei abhören und auch ein Feedback an Amazon wegen der Funktion weiter geben.
6F14C117-37BF-42E4-BAB8-95EA7C3CD0B8.jpeg
DD640E81-7353-49AB-B9DB-3D779C728F33.jpeg
4F94C271-69B4-4A6D-A19E-8F6A9E6CFC19.jpeg
Dies funktioniert eigentlich immer gut und spätestens nach 24 Stunden hat sich dann ein Amazon-Hotline-Techniker(2. Level) gemeldet. Diese wissen etwas mehr als die Mitarbeiter der normale Hotline. :grinning:
Um Alexa sicherer zu machen, sollte man in der FRITZBox bzw. Router eine Firewall- und URL-Filter-Regel für die Echo-Geräte erstellen. Diese habe ich bei mir in der FRITZBox hinterlegt. (Für weitere Informationen bzw. Die genauen Einstellungen eine eMail an root@cyberandi.de senden). Dadurch kann man zumindest verhindern, daß jemand anderes als Amazon die Verbindung zum Echo aufbauen kann. Das bedeutet alle Text-to-Voice-Skills funktionieren, nur die Radio-, Musik- und Nachrichtenskills mit Orginal-Ton gehen dann erstmal nicht. Außer man gibt die einzelnen URL´s für diese Skills frei. Dann gehen auch diese. Will dann ein Hacker bzw. Geheimdienst diese Daten abgreifen, geht dies nur über den Amazon Cloud-Diensr AWS usw. Wobei die NSA angeblich selber bei AWS Kapazitäten gebucht hat.

Aber die privaten Firmen und Konzerne sind meines Erachtens schlimmer als die Geheimdienste. Aber selbst wenn man nichts mit Internet macht, sind alle Bürger Deutschlands seit mind. der 1980´er in Dateien bzw. Karteien erhältlich. :grimacing: Auch der aktuelle Fall vom Hack der EOS-Gruppe (siehe hier http://t.umblr.com/redirect?z=http%3A%2 ... k-legt&m=1 ) zeigt, wie man als Kunde der OTTO Group (Otto Versand) mit Schulden bzw. Inkassoverfahren und ohne Internet von Hackern ausspioniert wird ohne daß man es weiß. Ich spreche hier aus beruflicher Erfahrung in CallCenter eines Versicherungsunternehmens. Man kann sich eigentlich so gut wie gar nicht vor der Sammelwut der Firmen schützen, außer man ist kompletter Selbstversorger und tauscht nur von privat an privat. Selbst bei Anfrage wegen einer Wohnung, bei einem Vermieter, führt meist schon zu einer Registrierung von SCHUFA, Infoscore und Einwohnermeldeamt und Finanzamt.

Daher ist der Datenschutz und Datensparsamkeit nach dem alten Datenschutzgesetz angeraten. Genauso müssen alle datenverarbeitenden und -speichernde Firmen und Behörden gezwungen werden, nach besten Gewissen und Wissen per IT-Sicherheits-Imfrastruktur(Firewall, Proxy usw..), Polícies (Richtlinien) und Audits (Überprüfung und Überarbeitung) sich gegen Hacker und Datenmanipulation oder Datenabfluß, von eigenen Angestellten, bei dem meisten Firmen ist dies das größte Problem, vorzugehen.
Zuletzt geändert von cyberandi am Mi 27. Dez 2017, 21:27, insgesamt 6-mal geändert.
0 x
Benutzeravatar

Mr.Fisch
Beiträge: 99
Registriert: So 30. Okt 2016, 11:53
Vorhandene Echos: 6
Vorhandene Echo Dots: 3

Mi 27. Dez 2017, 22:12

Das Diskussionsthema "Sicherheit und Alexa" führe ich im Bekannten- und Verwandtenkreis auch häufiger.
Nach dem ZDF-Bericht über Amazon und die Echos (https://www.zdf.de/verbraucher/wiso/ama ... 7-100.html) hat mich glatt meine Schwiegermutter aufgeregt angerufen ':)

Mein liebstes Gegenargument zu Sprüchen wie "...so eine Wanze kommt mir nicht ins Haus" ist recht einfach: Jedes Smartphone ist im Prinzip eine Wanze und damit ein Risiko. Ein Billighandy aus China (mit zweifelhafter Firmware) würde ich sogar als größeres Risiko bezeichnen.

Das Thema Datenschutz (oder auch Datensicherheit) kennt im Prinzip drei Angreifer mit unterschiedlichen Motivationen:
A. Der Staat (Geheimdienste, etc.) -> Risiko: Repressalien und latente Nachteile durch Klassifizierung / Rasterfahndung
B. Globale Firmen (Amazon, Google, etc.) -> Risiko: Personalisierte Werbung ( ggf. personalisierte/höhere Preise)
C. Kriminelle (Phishing, etc.) -> Risiko: Direkter Schaden (Kontoabbuchung, Erpressung, etc)

In Diskussionen wird häufig alles zusammen geschmissen. Aus meiner Sicht sind die Kriminellen (für Otto Normalbürger in Deutschland) die tatsächliche Gefahr wo ein tatsächlicher Schaden droht. Mir ist kein einziger Fall (in Deutschland) gekannt, wo jemand durch Zweckentfremdung von Daten durch die großen Firmen einen echten Schaden erlitten hat. Das können sich die großen Firmen auch aus zwei Gründen nicht leisten:
1. Der Imageverlust wäre verheerend für das Geschäft.
2. Gerde in den USA (würden bei einem tatsächlichen Schaden) Millionenklagen drohen

Meine subjektive Risikoanalyse für den Echo sieht so aus:
ad A). Ja, es gibt ein berechtigtes Risiko das Geheimdienste auf meine Sprachaufzeichnungen (nach dem Aktivierungswort) zugreifen können.
Ich kann mir im Moment nicht vorstellen dadurch einen Schaden zu erleiden. Natürlich könnte ich grundlos in eine Rasterfahndung geraten. Gleiches gilt IMHO für Telefonate.
ad B) Ja, Amazon wird meine erkannten Anfragen verwenden um die personalisierte Werbung zu verfeinern. Hmm, naja... eigentlich sehe ist das überhaupt nicht als Problem an.
ad C) Nein, hier halte ich den Echo für vergleichsweise robust und sicher. Zumindest im Vergleich zu anderen Geräte wie z.B. eine Webcam.

Gruß Marcel
0 x
Benutzeravatar

cyberandi
Beiträge: 77
Registriert: So 8. Okt 2017, 23:38
Wohnort: München
Vorhandene Echo Dots: 4
Kontaktdaten:

Mi 27. Dez 2017, 22:57

Mr.Fisch hat geschrieben:
Mi 27. Dez 2017, 22:12
Das Diskussionsthema "Sicherheit und Alexa" führe ich im Bekannten- und Verwandtenkreis auch häufiger.
Nach dem ZDF-Bericht über Amazon und die Echos (https://www.zdf.de/verbraucher/wiso/ama ... 7-100.html) hat mich glatt meine Schwiegermutter aufgeregt angerufen ':)

Mein liebstes Gegenargument zu Sprüchen wie "...so eine Wanze kommt mir nicht ins Haus" ist recht einfach: Jedes Smartphone ist im Prinzip eine Wanze und damit ein Risiko. Ein Billighandy aus China (mit zweifelhafter Firmware) würde ich sogar als größeres Risiko bezeichnen.

Das Thema Datenschutz (oder auch Datensicherheit) kennt im Prinzip drei Angreifer mit unterschiedlichen Motivationen:
A. Der Staat (Geheimdienste, etc.) -> Risiko: Repressalien und latente Nachteile durch Klassifizierung / Rasterfahndung
B. Globale Firmen (Amazon, Google, etc.) -> Risiko: Personalisierte Werbung ( ggf. personalisierte/höhere Preise)
C. Kriminelle (Phishing, etc.) -> Risiko: Direkter Schaden (Kontoabbuchung, Erpressung, etc)

In Diskussionen wird häufig alles zusammen geschmissen. Aus meiner Sicht sind die Kriminellen (für Otto Normalbürger in Deutschland) die tatsächliche Gefahr wo ein tatsächlicher Schaden droht. Mir ist kein einziger Fall (in Deutschland) gekannt, wo jemand durch Zweckentfremdung von Daten durch die großen Firmen einen echten Schaden erlitten hat. Das können sich die großen Firmen auch aus zwei Gründen nicht leisten:
1. Der Imageverlust wäre verheerend für das Geschäft.
2. Gerde in den USA (würden bei einem tatsächlichen Schaden) Millionenklagen drohen

Meine subjektive Risikoanalyse für den Echo sieht so aus:
ad A). Ja, es gibt ein berechtigtes Risiko das Geheimdienste auf meine Sprachaufzeichnungen (nach dem Aktivierungswort) zugreifen können.
Ich kann mir im Moment nicht vorstellen dadurch einen Schaden zu erleiden. Natürlich könnte ich grundlos in eine Rasterfahndung geraten. Gleiches gilt IMHO für Telefonate.
ad B) Ja, Amazon wird meine erkannten Anfragen verwenden um die personalisierte Werbung zu verfeinern. Hmm, naja... eigentlich sehe ist das überhaupt nicht als Problem an.
ad C) Nein, hier halte ich den Echo für vergleichsweise robust und sicher. Zumindest im Vergleich zu anderen Geräte wie z.B. eine Webcam.

Gruß Marcel
@Mr.Fisch Bitte bei Fakten bleiben und nicht Vermutungen. Und ja es entstehen schon Schäden durch Rasterfahndung und Telefonabhöhren. Diese werden aber selten in den Nachrichten gebracht bzw. bekannt.
Amazon Alexa ist genauso angreifbar wie alle anderen Geräte auch. Nur ist bis jetzt noch keine Variante bekannt, nach dem es über das Internet gelungen wäre auf den Echo zuzugreifen und ihn zu manipulieren. Daher meine Empfehlung mit den Firewall-Regeln und der URl-Liste, da kann man nur noch über die Amazon Cloud (AWS usw.) gehen.

Wir werden bei jedem Telefonat welche wir heute mit einer Firma tätigen aufgezeichnet und ausgewertet. Hier gibt es immer den Spruch: Zu Trainings- und Übungszwecken kann dieses Telefonat aufgezeichnet werden. Hier sind schon Millionenfach 1:1-Telefonate ausgewertet und gespeichert worden. Bei jeder Versicherung, Flug- und Reisegesellschaft usw. gehen IT-Systeme mit Voice-Erkennung rüber umd legen zusätzliche Datensätze und Meta-Daten an. Hier werden bei Problemen in der Verständlichkeit bzw. des Fallabschlusses per Ampel-Anzeige der Vorgesetzte Informiert um diese Voice-Files abzuhören bzw. Dem Gericht vorzulegen. Ich habe schon mehrfach diese Daten an Anwälte und Gericht weiter geben müssen.

Es werden täglich Millionen von deutschen Daten abgefisht, geklaut oder gehackt. Aber unsere Polizei und Staatsanwaltschaft haben zu wenig Personal und zuwenig Wissen darüber was alles abläuft im Internet. Habe hier mehrfach die Erfahrung, privat wie auch beruflich, gemacht. Es wurden schon Verfahren, welche ich bei der Polizei, mit ausführlichen Protokollen ca. 20 Seiten, angezeigt habe nicht verfolgt, obwohl ich selber nur noch 20 Sekunden gebraucht hätte um den Täter zu identifizieren und lahmzulegen. Währe aber illegal gewesen. Daher habe ich Anzeige erstattet. In Deutschland kann man die Firmen wegen Datenklau durch gehackt werden schwer verklagen. Aber warten wir mal den aktuellen Fall, den ich im meinem Post geschildert habe, ab. War der erste richtig allumfassende Hack einer Inkassofirma inkl. Gesundheitsdaten und Finazsituation.http://t.umblr.com/redirect?z=http%3A%2 ... k-legt&m=1 Tagesschau um 20 Uhr hat nichts dazu gesagt. War natürlich zu brisant.
Zuletzt geändert von cyberandi am Mi 27. Dez 2017, 23:17, insgesamt 3-mal geändert.
1 x
Benutzeravatar

Mr.Fisch
Beiträge: 99
Registriert: So 30. Okt 2016, 11:53
Vorhandene Echos: 6
Vorhandene Echo Dots: 3

Mi 27. Dez 2017, 23:53

@cyberandi: Ich kann Deine Argumentation und Deine Bedenken nachvollziehen. Es ist sicherlich grundsätzlich gut beim Thema Datenschutz sensibilisiert zu sein. Auch Dein Tipp die Firewall auf die Amazon-Cloud-Dienste zuzuziehen macht für viele Nutzer Sinn, auch wenn es natürlich ein Abwägungsthema ist da einige Skills dann nicht mehr laufen werden.

Trotzdem haben wir offensichtlich unterschiedliche Einschätzungen zum Thema Datenschutz und der damit verbundenen Risikobewertung. Ich persönlich halte das Prinzip der Datensparsamkeit für einen deutschen/europäischen Irrweg und potentiell innovationsfeindlich. Mir ist aber bewusst, dass die meisten Menschen in Deutschland das vermutlich anders sehen als ich. Ich habe jedoch die Hoffnung, dass sich das mit den nächsten Generationen ändern wird.

Im Grunde enden die Diskussionen immer damit das die eine Seite sagt "...wie kann man so böld/blauäugig sein" und die andere Seite kontert mit "..wie kann man nur so paranoid sein". Vielleicht liegt die Wahrheit in der Mitte ;)
1 x
Benutzeravatar

WaJoWi
Beiträge: 163
Registriert: Do 26. Jan 2017, 11:52
Vorhandene Echos: 2
Vorhandene Echo Dots: 4

Do 28. Dez 2017, 17:20

robin.h hat geschrieben:
Mi 27. Dez 2017, 15:28
Wenn allerdings das Aktivierungswort fällt, zeichnet Alexa auf... Und sendet das an einen Server.
Erst hier gibt es eine Verarbeitung.
Und auch nur von dem was nach Alexa kam...
Stimmt nicht ganz. Es wird scheinbar ständig im internen Speicher gepuffert. Das kann man leicht nachvollziehen wenn man sich die Aufnahmen auf der Alexa-Website anhört. Da ist oft auch "Alexa" mit drauf. Manchmal auch noch kurz davor. Es wird also nicht nur der Befehl nach dem Wakeword gesendet, sondern auch etwa eine Sekunde davor.
robin.h hat geschrieben:
Mi 27. Dez 2017, 15:28
Und es gibt auch keinen Datenverkehr ohne Aufforderung.
Und auch das stimmt nicht ganz. Meine Echos versuchen jeden Tag gesamt etwa 10.000 mal eine Verbindung nach device-metrics-us.amazon.com aufzubauen. Und auch mit anderen Seiten von Amazon wird regelmäßig eine Verbindung hergestellt. Was dabei genau übertragen wird, weiß ich aber auch nicht. Ein dauernder Audiostream jedenfalls nicht - dazu ist die Datenmenge zu gering.
0 x
Benutzeravatar

robin.h
Beiträge: 871
Registriert: Sa 10. Dez 2016, 17:25
Wohnort: Berlin
Vorhandene Echos: 9

Do 28. Dez 2017, 17:40

Das sind die "ich bin da pings" , die eigentlich alle Geräte Sende, die über einen externen Server laufen.
Die Ports usw. müssen ja offen gehalten werden, ebenso müssen auch Befehle von aussen empfangen werden können
0 x
Benutzeravatar

WaJoWi
Beiträge: 163
Registriert: Do 26. Jan 2017, 11:52
Vorhandene Echos: 2
Vorhandene Echo Dots: 4

Fr 29. Dez 2017, 09:49

Allerdings funktionieren die Echos auch ganz hervorragend, wenn man ihnen den Zugang zu device-metrics-us.amazon.com sperrt. Überhaupt bauen die Echos so einige (scheinbar) unnötige Verbindungen auf. Zum Beispiel auch nach www.example.org|.net|.com. Das erfolgt alle 5 Minuten an alle drei Domains (sowohl IPv4 als auch IPv6). Scheinbar nur um zu testen ob der Internetzugang vorhanden ist. Aber sechs Anfragen? Alle acht Stunden wird eine Verbindung nach api.amazonalexa.com aufgebaut. Und unregelmäßig nach dcape-na.amazon.com. Und noch ein paar andere Zieladressen. Die haben alle nichts mit der eigentlichen Alexa-Kommunikation zu tun.

Die Echos verursachen so doch einiges an Netzwerkverkehr auch wenn sie "inaktiv" sind. Und jeder unterschiedlich. Es sind nicht alle gleich. Da würde mich eine Erklärung schon interessieren...
0 x
Antworten

Zurück zu „Echo Allgemein“

  • Information