Ecovacs-Roboter nicht ausreichend gegen Fremdzugriff geschützt

Der Frankfurter Entwickler Dennis Giese beschäftigt sich schon seit einigen Jahren mit Smarthome-Robotern. Unter anderem hat er sich mit dem Projekt DustBuilder einen Namen gemacht, mit dessen Hilfe man die Saugroboter unterschiedlicher Hersteller aus deren Cloud-Systemen „befreien“ und mit einer eigenen Firmware bespielen kann.

Auf der Hackerkonferenz DEFCON hat Giese nun die Sicherheit von Haushaltsrobotern, insbesondere von Ecovacs-Modellen, kritisch beleuchtet. Seine Untersuchung zeigt teils gravierende Schwachstellen, darunter die fehlende Verifizierung von TLS-Zertifikaten, defekte Werkseinstellungen und die Möglichkeit zum nicht autorisierten Zugriff auf Live-Kamerabilder.

Diese Probleme könnten potenziell dazu genutzt werden, die Geräte auszuspionieren. Damit verbunden berichtetete Giese von Schwierigkeiten, diese Sicherheitslücken an den Hersteller zu melden, und äußert Zweifel an der Zuverlässigkeit von externen Zertifizierungsstellen. Das Fazit dürfte niemand überraschen: Wer seine Privatsphäre schützen will, sollte vorsichtig bei der Auswahl und Nutzung von solchen Geräten sein.

Initiale Attacke setzt Bluetooth voraus

Die gute Nachricht ist, wenn man so will, dass sich die von Giese beschriebenen Ecovacs-Hacks ausschließlich über Bluetooth durchführen lassen und ein Angreifer somit zumindest bei seiner ersten Attacke räumlich in der Nähe sein muss. Anschließend sei der Zugriff allerdings auch übers Internet möglich und die Angreifer könnten auf die in den Geräten verbauten Kameras und Mikrofone zugreifen.

Der initiale Angriff ist bei den im Haus genutzten Reinigungsroboter allerdings schwieriger, als bei den Rasenmähern von Ecovacs. Die Saug- und Wischroboter erlauben nach ihrer Aktivierung nur über einen begrenzten Zeitraum hinweg eine Blutooth-Verbindung. Die Mähroboter von Ecovacs lassen allerdings permanent Bluetooth-Verbindungen zu, um auch außerhalb der WLAN-Verfügbarkeit per Mobiltelefon ansprechbar zu sein. Bei diesen Geräten gibt es dann immerhin zumeist nicht mehr zu sehen, als auch mit einem Blick über den Gartenzaun möglich ist.

Ecovacs muss dringend nachbessern

Ungeachtet dessen muss sich Ecovacs jedoch vorwerfen lassen, den Schutz der Privatsphäre sträflich vernachlässigt zu haben. Zudem hätten sich im Laufe der Untersuchung diverse weitere Probleme und Fehler in Bezug auf die Sicherheit sowie den Schutz der auf den Geräten und in der Ecovacs-Cloud gespeicherten persönlichen Daten gezeigt.

Die im Detail hier als PDF abrufbare Analyse sorgt hoffentlich dafür, dass Ecovacs die betroffenen Systembereiche grundlegend verbessert. Unsere Faustregel für den Einsatz von Smarthome-Geräten lautet ohnehin, dass man auf Kameras im Innenraum wo möglich verzichten oder diese nur wenn niemand in der Wohnung ist aktivieren sollte.