Een beveiligingsonderzoeker heeft gedemonstreerd hoe oudere modellen van de Amazon Echo in een afluisterapparaat zijn te veranderen. Voor het uitvoeren van de hack is wel fysieke toegang tot het apparaat vereist. De Amazon Echo is een smart speaker en persoonlijke digitale assistente.

Gebruikers kunnen het apparaat via een stemcommando activeren en vervolgens mondeling een opdracht geven. Een aanvaller met fysieke toegang kan een rootshell op het onderliggende Linux-besturingssysteem krijgen en malware installeren, zonder sporen achter te laten. Via de malware kan een aanvaller of afstand persistente toegang tot het apparaat krijgen en de omgeving afluisteren of informatie stelen, zo meldt onderzoeker Mark Barnes van securitybedrijf MWR.

De Amazon Echo is volgens Barnes door twee ontwerpkeuzes kwetsbaar voor een fysieke aanval. De 'debug pads' aan de onderkant van het apparaat zijn eenvoudig toegankelijk. Via deze debug pads is er informatie over de werking van het apparaat te achterhalen. Daarnaast is er een instelling om het apparaat vanaf een externe sd-kaart op te laten starten. Door de Echo vanaf een speciaal geprepareerde sd-kaart te booten is het mogelijk om zonder authenticatie roottoegang te krijgen.

Barnes schreef vervolgens een script dat de ruwe microfoondata via tcp/ip naar een remote service streamt. Dit heeft geen invloed op de werking van de Amazon Echo en maakt het mogelijk voor een aanvaller om op afstand met de omgeving mee te luisteren. De kwetsbaarheid is aanwezig in de 2015- en 2016-editie van de Amazon Echo. Het model van dit jaar is niet kwetsbaar. Barnes stelt dat het eenvoudig was om de Echo te rooten, maar het wel fysieke toegang vereist wat een grote beperking is. Toch moeten ontwikkelaars er niet van uitgaan dat gebruikers het apparaat nooit naar een omgeving zullen meenemen waar dit voor een aanvaller mogelijk is, aldus de onderzoeker.