ifun.de — Apple News seit 2001. 39 214 Artikel

Hacker greift auf Mäh- und Saugroboter zu

Ecovacs-Roboter nicht ausreichend gegen Fremdzugriff geschützt

Artikel auf Mastodon teilen.
6 Kommentare 6

Der Frankfurter Entwickler Dennis Giese beschäftigt sich schon seit einigen Jahren mit Smarthome-Robotern. Unter anderem hat er sich mit dem Projekt DustBuilder einen Namen gemacht, mit dessen Hilfe man die Saugroboter unterschiedlicher Hersteller aus deren Cloud-Systemen „befreien“ und mit einer eigenen Firmware bespielen kann.

Auf der Hackerkonferenz DEFCON hat Giese nun die Sicherheit von Haushaltsrobotern, insbesondere von Ecovacs-Modellen, kritisch beleuchtet. Seine Untersuchung zeigt teils gravierende Schwachstellen, darunter die fehlende Verifizierung von TLS-Zertifikaten, defekte Werkseinstellungen und die Möglichkeit zum nicht autorisierten Zugriff auf Live-Kamerabilder.

Giese Ecovacs Hack

Diese Probleme könnten potenziell dazu genutzt werden, die Geräte auszuspionieren. Damit verbunden berichtetete Giese von Schwierigkeiten, diese Sicherheitslücken an den Hersteller zu melden, und äußert Zweifel an der Zuverlässigkeit von externen Zertifizierungsstellen. Das Fazit dürfte niemand überraschen: Wer seine Privatsphäre schützen will, sollte vorsichtig bei der Auswahl und Nutzung von solchen Geräten sein.

Initiale Attacke setzt Bluetooth voraus

Die gute Nachricht ist, wenn man so will, dass sich die von Giese beschriebenen Ecovacs-Hacks ausschließlich über Bluetooth durchführen lassen und ein Angreifer somit zumindest bei seiner ersten Attacke räumlich in der Nähe sein muss. Anschließend sei der Zugriff allerdings auch übers Internet möglich und die Angreifer könnten auf die in den Geräten verbauten Kameras und Mikrofone zugreifen.

Der initiale Angriff ist bei den im Haus genutzten Reinigungsroboter allerdings schwieriger, als bei den Rasenmähern von Ecovacs. Die Saug- und Wischroboter erlauben nach ihrer Aktivierung nur über einen begrenzten Zeitraum hinweg eine Blutooth-Verbindung. Die Mähroboter von Ecovacs lassen allerdings permanent Bluetooth-Verbindungen zu, um auch außerhalb der WLAN-Verfügbarkeit per Mobiltelefon ansprechbar zu sein. Bei diesen Geräten gibt es dann immerhin zumeist nicht mehr zu sehen, als auch mit einem Blick über den Gartenzaun möglich ist.

Ecovacs muss dringend nachbessern

Ungeachtet dessen muss sich Ecovacs jedoch vorwerfen lassen, den Schutz der Privatsphäre sträflich vernachlässigt zu haben. Zudem hätten sich im Laufe der Untersuchung diverse weitere Probleme und Fehler in Bezug auf die Sicherheit sowie den Schutz der auf den Geräten und in der Ecovacs-Cloud gespeicherten persönlichen Daten gezeigt.

Die im Detail hier als PDF abrufbare Analyse sorgt hoffentlich dafür, dass Ecovacs die betroffenen Systembereiche grundlegend verbessert. Unsere Faustregel für den Einsatz von Smarthome-Geräten lautet ohnehin, dass man auf Kameras im Innenraum wo möglich verzichten oder diese nur wenn niemand in der Wohnung ist aktivieren sollte.

13. Aug 2024 um 11:08 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    6 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Mein Nachbar hat so einen! Könnte ich den dann also hacken und dazu bringen, dass er meinen rasen mäht, wenn mein Nachbar gerade bei der Arbeit ist?

  • Bin großer Fan von Daniels und Sörens (Valetudo) Arbeit!
    Unser RockRobo war noch nie online und macht einen großartigen Job.

    Danke Dir und Sören an dieser Stelle für Eure großartige Arbeit

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39214 Artikel in den vergangenen 8419 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven