Amazon Echo Sicherheitsbedenken

Wie in meinem letzten Beitrag angemerkt, fühle ich aktuell dem Amazon Echo auf den Zahn, um zu testen was alles geht, was machbar ist und was schlecht umgesetzt wurde.
Zum Thema Datenschutz möchte ich gar nicht so viel anmerken, jeder der sich ein Mikro in die Bude stellt, mit permanenter Internetverbindung, sollte sich darüber im Klaren sein, dass der Punkt Datenschutz nicht mehr gegeben ist.

Auf der anderen Seite kaufen sich die Leute aktuell wie wild die Teile, jeder stellt sich so eine Wanze in die Bude und eigentlich liegt an uns zu prüfen, was man damit alles machen kann und „Sicherheitsbedenken“ im Vorfeld zu äußern, bevor die Dunkle Seite der Macht Zugriff auf dieses System nimmt.

Funktionsweise des Echo: Das Gerät ist mit Amazon verbunden, via Sprachbefehl kann das Micro gestartet werden („Alexa“, „Computer“ …), das daraufhin gesprochene wird zu Amazon gestreamt, dort in „Text“ umgewandelt und entsprechende Routinen gestartet.
Es gibt Amazon eigene, es gibt aber auch Routinen und Funktionen, die man sich nachträglich aktivieren kann.
Sprachbefehle die nicht zum Standardfunktionsumfang gehören, oder aber auch Steuerbefehle zu „Smart Home Geräten“, die man mit seinem Account koppeln und dann steuern kann.
Dabei ist es dem jeweiligen Entwickler freigestellt, ob er seinen Code in der Amazon-Cloud laufen lässt, oder über seinen eigenen Server regelt.
Dabei stehen unterschiedliche Möglichkeiten zur Verfügung, ich habe mir dabei eine Funksteckdose eines Herstellers aus China angeschaut und eine Glühbirne mit dem ZigBee Standard (Philips Hue).
ZigBee ist quasi eine lokale Funkverbindung mit begrenzter lokaler Reichweite, allerdings unverschlüsselt und ohne Authentifizierung und somit auch relativ unsicher.
Passende USB-Funkadapter und auch ein Metasploit-Modul zum „Testen“ sind bereits verfügbar, so dass es Angreifern wirklich leicht gemacht wird.
Die Funksteckdose lässt sich nicht so einfach vom Nachbarn manipulieren, die Angriffsvektoren befinden sich an dieser Stelle eher über den Server (bei meiner Funksteckdose in China sitzend).
Meiner Meinung nach ist dieser Punkt noch kritischer, weil nicht nur die Steckdose vom Server in China kontrolliert wird, sondern auch ein Zugang zum eigenen Netz gewährt wird.
Wer solche Endgeräte dennoch betreiben möchte, sollte dies in einem separaten abgeschotteten Netz umsetzen (DMZ).
Mir fällt es jedoch generell ein wenig schwer, ernst gemeinte Sicherheitstipps zum Betrieb eines Heimnetz mit einem Amazon Echo zu geben.
Vielleicht: Sich bewusst machen, dass man eine Wanze in Wohnung hat, dass jederzeit alle über Smart-Home betriebenen Endgeräte Amok laufen können, wenn ich bereit bin diese Dinge zu akzeptieren, kann man diesen bewussten Schritt gehen.
Ganz nebenbei bemerkt, bewegen wir uns überwachungs- und sicherheitstechnisch eh auf sehr dünnen Eis.
(Fast) Jeder von uns hat ein Smartphone in der Hosentasche, Wanzenfunktion und Kamera integriert, Laptops, Tablets besitzen dieses Feature ebenso, auf Hardware die zum Großteil aus China kommt und Betriebssystemen mit zahlreichen Hintertüren und Sicherheitslücken.

Um mir eine Meinung zu Alexa zu bilden, habe ich mich bei Amazon als Developer registriert, mir eine AWS-Cloud angemietet und einige Skills programmiert.
Ein Skill den ich veröffentlichen möchte, liegt aktuell zur Prüfung bei Amazon. Ich hoffe, dass dieser freigeben wird.

Was habe ich da programmiert?
Benutzer gibt Sprachbefehl an sein Echo -> Echo verbindet sich zu Amazon -> Amazon führt dort meinen definierten Workflow aus -> schickt dann einen Request an meinen privaten Server und übergibt dabei gesprochene Parameter aus der Anfrage -> mein Server verarbeitet dies, stellt dann eine Anfrage an eine Internet-Seite und zieht sich dort Informationen, bereit diese auf schickt die Response zurück zu Amazon -> Amazon schickt Ergebnis zum Echo.
Die Zustimmung des Seitenbetreibers der Internet-Seite habe ich natürlich.

Fazit: Ein Amazon Echo stellt eine bedenkliche Technik zur Verfügung, die sicherheitstechnisch noch nicht ausgereift ist und in Zukunft einige Probleme bei vielen Nutzern auslösen wird.
Als Nerd und Entwickler und macht so ein Echo jedoch unheimlich Spaß, da man damit fast unbegrenzt Dinge umsetzen kann (skills die man selbst entwickelt, stehen sofort auf den eigenem Echo zur Verfügung, so dass man wirklich sehr sehr viel umsetzen kann).
Es liegt an uns, diese Technik sinnvoll zu nutzen und ich hoffe, dass der Gesetzgeber die neu Technik besonders schützt und nicht als Chance wahrnimmt, noch effektiver zu überwachen.