Bibliographic Metadata

Title
Traffic-Analyse von Amazon Echo Dot in Hinblick auf auf Datenmenge, Sicherheit und Datenschutz
Additional Titles
Traffic-Analysis of Amazon Echo Dot Considering Data Amount, Security and Privacy
AuthorSacic, Amir
Thesis advisorMiladinovic, Igor
Published2018
Date of SubmissionJuly 2018
LanguageGerman
Document typeBachelor Thesis
Keywords (DE)Alexa / Echo / Linux / Kali / Ettercap / Datenschutz / Datenschutzgrundverordnung / Privacy Shield / Internet of Things / Man in the middle / ARP-Poisoning / DNS-Spoofing / Wireshark / Verschlüsselung / Sicherheit / Netzwerk / Exploits / IP Scanner / Fiddler
Keywords (EN)Alexa / Echo / Linux / Kali / Ettercap / Data protection / Privacy Shield / Internet of Things / Man in the middle / ARP-Poisoning / DNS-Spoofing / Wireshark / Encryption / Security / Network / Exploits / IP Scanner / Fiddler
Restriction-Information
 _
Classification
Abstract (German)

Diese Bachelorarbeit beschäftigt sich mit dem Datenschutz und der Datenanalyse von Amazon Echo Geräten. Durch die enorme Popularität von

Smart Hubs wird immerzu der Datenschutz in Frage gestellt. Fragen wie "`Wann hört Alexa wirklich zu"' sind derzeit in aller Munde.

Außerdem wird es komplizierter wenn zum Beispiel der Amazon Web Service (AWS) in den Vereinigten Staaten installiert ist, das Gerät aber in Österreich steht. Daran gebunden werden durch

Sicherheitsanalysen etwaige Sicherheitslücken und/oder Sicherheitsbedenken diskutiert.\par Abgesehen vom Datenschutz wird auch der

tatsächliche Netzwerkverkehr vom Amazon Echo analysiert. Wird tatsächlich alles an das Webservice weitergeleitet, oder wird auch etwas am

Echo selbst durchgeführt. Gibt es unterschiede zwischen Third Party Skills und nativen Kommandos? Hierzu wird das Third-Party tool

Wireshark hergenommen um die Daten vom Netzwerk zu sniffen. Durch Wireshark ist es möglich den gesamten Traffic

zu dumpen und dannach zu analysieren. Idealerweise ist es möglich den HTTPS Traffic zu entschlüsseln. Falls dies nicht möglich

ist wird trotzdem die Ziel-IP adresse des Echo eroiert und anhand von dieser der zu erreichende Host.

Zunächst wird durch recherche erläutert wie die Gesetzeslage in den Vereinigten Staaten und in Europa ist und was die Unterschiede bezüglich Alexa sind.

Dannach wird durch Netzwerkverkehr-Analyse bestimmt wie sich der Echo tatsächlich verhält. Welche kommandos, welche Auswirkungen haben und wieviel vom

Datenverkehr zum Webservice gelangt.\par

Die Sicherheitsanalysen werden hauptsächlich recherchiert und in weiterer Folge ausgenutzt. Die Arbeit wird zeigen

wie sich der Echo abhängig von verschiedenen Angriffstypen verhält.

Neue Funktionalitäten wie der Direktkauf von Produkten via Echo steht in der Kritik. Es gibt einige Werbungen die im Fernsehen ausgestrahlt

werden die beim Echo einen Einkauf auslösen. Ist diese Funktionalität sicher genug für den Konsumentenmarkt?

Abstract (English)

This bachelor thesis focuses on the data protection and data analysis of Amazon Echo devices. Because of the enormous popularity of Smart Hubs,

data protection is being questioned all the time. Questions like "`When does Alexa listen?"' are frequently asked. It gets even more compicated

if the AWS is installed in the United States and the Echo device itself is located in Austria. Bound to that issue, security

analysts are discussing eventual security breaches and exploits. \par Apart of data protection the real network traffic will be anaylsed as

well. Does the Echo forward really everything to the Amazon Web Service or does it compute something by itself? Are there any differences

between built-in and third-party skills? To find out answers to those questions Wireshark will be used. With Wireshark it is possible to sniff

the incoming and outgoing network traffic of a host. Afterwards the dumped data will be anaylsed. Best case scenario would be to encrypt the

entire communication in order to determine which data is beeing forwarded to the AWS. In case its not, we still can

determine the destination IP-Address and eventually the hostname. \par

First, research explains what is the legal situation in the United States and Europe and what are the differences regarding Alexa.

Then, network traffic analysis determines how the echo actually behaves. Which commands, which effects have and how much of the

data traffic goes to the web service.\par

\par

The security analyses are mainly researched and subsequently exploited. The work will show

how the echo behaves depending on different types of attacks.

New functionalities such as the direct purchase of products via Echo are under criticism. There are some commercials that are broadcast on television

which will make a purchase on the echo. Is this functionality safe enough for the consumer market?