Google Home と同様に、Amazon Echo は通常、特定の単語でサービスを起動した場合にのみ応答します。デバイスはリッスンするコマンドを受信するまで待機します。しかし、セキュリティ研究者のMark Barnes氏は、古いAmazon Echoデバイスが常にあらゆるものをリッスンできるようにしました。これを行うには、SD カードを挿入し、Amazon Echo ファームウェアを書き換えるだけです。再プログラムされたファームウェアは Barnes によってリリースされたものではありません。ただし、他のハッカーがすでに独自のファームウェアをプログラムして、使用済みの Echo を盗聴バグとして流通させている可能性を排除することはできません。
約700万台のデバイス
その後、SD カードが再度取り外された場合でも、デバイスは第三者が内蔵マイクを介して受信したすべての情報にアクセスできるようになります。したがって、このデバイスは完璧なオーディオバグになります。ただし、すべての Amazon デバイスが影響を受けるわけではなく、2017 年より前に配信されたモデル、つまり 2015 年と 2016 年のすべてのモデルのみが影響を受けます。アナリストらは、これらのデバイスが当時約 700 万台販売されたと推定しています。
アマゾン無力
予防策として、Amazon は顧客に対し「信頼できる販売者からのみデバイスを購入する」ことを推奨しています。 「The Verge」の報道によると、Amazonはこの差を埋めるのが困難、あるいは不可能になるだろうという。ただし、再プログラムするにはデバイスを物理的に手に入れる必要があるため、この攻撃を全面的に使用することはできません。