Die Firmware wird per Audiosignal gehackt

Um die fehlenden Informationen zu beschaffen, versuchte Hunz, Schwachstellen der Firmware auszunutzen, um den internen Speicher des Dash-Buttons auszulesen, der die Konfigurationsdateien und das für die Verschlüsselung genutzte Nutzergeheimnis enthält.

Stellenmarkt
  1. IT-Service Desk Specialist (m/w/d) für den 1st und 2nd Level Client / User Support
    Elpix-AG, Neuss
  2. Planer (m/w/d) Systemintegration / Software-Absicherung
    Porsche AG, Zuffenhausen
Detailsuche

Zum Erfolg führte schließlich die Analyse der bereits im ersten Dash-Button in der iOS-Version der App genutzten Möglichkeit zur Authentifizierung per Voice-Sampling. Diese Funktion hatte, anders als andere Bereiche der Firmware, keinen Length-Check für eingegebene Befehle.

  • Amazons Dash-Button (Bild: Ingo Pakalski/Golem.de)
  • Amazon startet mit Dash-Buttons verschiedener Markenhersteller. (Bild: Ingo Pakalski/Golem.de)
  • Amazons Dash-Button (Bild: Ingo Pakalski/Golem.de)
  • Amazon startet mit Dash-Buttons verschiedener Markenhersteller. (Bild: Ingo Pakalski/Golem.de)
  • Amazons Dash-Button (Bild: Ingo Pakalski/Golem.de)
  • Dash-Button (Bild: Amazon)
  • Der Haken kann vom Dash-Button abgenommen werden. (Bild: Amazon)
  • Die Dash-Buttons können etwa im Bad an einen Haken gehängt werden. (Bild: Amazon)
  • Oder aber der Dash-Button wird einfach direkt auf die Waschmaschine geklebt. (Bild: Amazon)
Amazons Dash-Button (Bild: Ingo Pakalski/Golem.de)

Um die Schwachstelle auszunutzen, entwickelte Hunz dann einen per Audiosignal ausgelieferten Exploit. Ein Skript erzeugt eine kurze Audiodatei, die dann per Kopfhörer dem Dash-Button in einer Schleife vorgespielt wird. Danach kann der gesamte Speicherinhalt ausgelesen werden.

Amazon könnte Schwachstelle beseitigen

Die Schwachstelle, so Hunz, werde vermutlich bald von Amazon behoben. Dies sei bei vorhandenen Buttons aber nur möglich, wenn der Server ein Firmware-Update erzwingen kann. Hunz empfiehlt inspirierten Hackern daher, Verbindungen zu den Update-Servern von Amazon zu unterbinden. Der Code für den Exploit kann bei Github abgerufen werden.

Andere gehen für 10 Euro ins Kino, ich hacke für 5 Euro die Wochenenden durch

Golem Karrierewelt
  1. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Wie lange er an dem Hack gearbeitet hat, konnte Hunz auf Nachfrage aus dem Publikum nicht sagen: "Ich behalte die Zeit nicht im Auge. Manche Menschen kaufen für 10 Euro ein Kinoticket und haben 90 Minuten lang Spaß, ich kaufe für 5 Euro einen Dash-Button und habe viele Wochenenden meinen Spaß!"

Weitere Forschungen an dem Gerät will Hunz vermutlich nicht vornehmen, ist aber gern bereit, interessierten Bastlern Hilfestellung zu leisten. Am Ende der Frage-und-Antwort-Session wurde noch auf das Mindesthaltbarkeitsdatum des Dash-Buttons hingewiesen.

Weil der Timestamp nur 4 Byte lang sei, könne das Gerät längstens bis zum Jahr 2038 funktionieren. Bis dahin dürfte es Amazon zwar vermutlich gelingen, ein Softwareupdate bereitzustellen, doch der Zuhörer scheint nicht überzeugt: "Ich denke, das ist sehr nachlässig von ihnen!"

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eigene FPGA-Testumgebung
  1.  
  2. 1
  3. 2
  4. 3


satori 16. Jan 2017

Für mich persönlich ist das noch nicht attraktiv genug. Sinnvoller wäre es aus meiner...

My1 13. Jan 2017

naja das game ist auch in einem genre dass mich gar nicht interessiert.

Forkbombe 13. Jan 2017

Da es sich bei ARP-Requests um Broadcasts handelt, bekommt die jeder Rechner in deinem...

asca 10. Jan 2017

Du gehst davon aus, dass querschlaeger jeden Tag mind. 3 Dinge einkauft? Da ich mal...



Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  3. Gerichtsurteil: MDR darf Facebook-Kommentare ohne Sendungsbezug löschen
    Gerichtsurteil
    MDR darf Facebook-Kommentare ohne Sendungsbezug löschen

    Öffentlich-rechtliche Sender begehen keine Zensur, wenn sie nicht strafbare Kommentare auf Facebook löschen. Manchmal sind sie eher dazu verpflichtet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /