TÜV-Siegel ohne Wert? Sicherheitsforscher hacken zertifizierte Staubsauger-Roboter

Eine fahrbare Kamera mit Mikrofonen in jeder Wohnung – das klingt wie der Traum jedes Überwachers. Dass solche Orwell-Träume wahr werden könnten, haben die Sicherheitsforscher Dennis Giese und Braelynn kürzlich auf der Hacking-Konferenz Def Con gezeigt. Sie kaperten per Bluetooth Staubsauger-Roboter, lasen Wohnungspläne aus und aktivierten unbemerkt Kameras und Mikrofone der Bots.
Dass Staubsauger-Roboter zu Spionen in der eigenen Wohnung werden können, ist grundsätzlich nicht neu. Zuletzt hatte sich das vor vier Jahren gezeigt. Damals waren teils sehr private Fotos von Nutzer:innen von Roomba-Robotern im Internet gelandet – darunter Aufnahmen eines Minderjährigen und einer Frau, die auf der Toilette sitzt. Zwar werden immer wieder solche Sicherheitslücken aufgedeckt und dann auch geschlossen. Aber bei zahlreichen neuen Modellen tauchen immer neue Lücken auf – und das Missbrauchspotenzial steigt, weil die Hardware immer besser wird.
Warum haben Staubsauger Kameras?
Um sich in der Wohnung zu orientieren, nutzen viele Roboter-Staubsauger Lidar-Lasersensoren. Lidar ist aber vergleichsweise teuer. „Mittlerweile haben viele Hersteller aber erkannt, dass Kameras sehr viel billiger sind“, sagt der Sicherheitsforscher Dennis Giese. Da die Hardware der Roboter immer leistungsfähiger geworden ist, läuft auf vielen Geräten mittlerweile zudem eine einfache Objekterkennung. „Viele Kunden machen sich Sorgen um ihre Haustiere, beziehungsweise auch deren mögliche Hinterlassenschaften“, sagt Giese. Mit Kameras und KI ausgestattet erkennen die Roboter Tiere, spielende Kinder und Hindernisse, die sie umfahren sollen. Mikrofone und eine Spracherkennung erlauben eine Steuerung der Geräte per Sprache.
Warum ist das ein Problem?
Das Problem ist allerdings, dass die Geräte zwar fahrende Sensor-Plattformen sind, die Hardware aber in der Regel nicht besonders gut gesichert ist. Giese und seine Mitstreiter:innen fanden bei den untersuchten Evovacs-Geräten „elementare Fehler“. So war es beispielsweise möglich, aus der App eines angemeldeten Users Zertifikate zu stehlen, die sie dann nutzen konnten, um eine Bluetooth-Verbindung zu fremden Roboter-Saugern aufzubauen und Code zu übertragen, der dann auf dem Roboter ausgeführt wurde. „Auf dem Roboter ist das WLAN-Password gespeichert, vielleicht auch noch die Email des Nutzers“, sagt Giese. „Man kann die Mikrofone und Kameras aktivieren und die Leute ausspionieren. Man lernt, wie die Enkelin heißt, wann und wohin es in den Urlaub geht, was für ein Auto sie fahren“. Informationen, die zum Beispiel für Phishing-Versuche genutzt werden könnten.
Zudem schicken die Geräte bei ihrer Arbeit zahlreiche Daten zu den Servern des Herstellers: Lagepläne der Wohnungen, Bilder, Nutzungsstatistiken und so weiter. Die Hersteller nutzen diese Daten nach eigenen Angaben, um die Software der Roboter weiter zu verbessern – was in manchen Fällen auch heißt, KI-Modelle weiter zu trainieren. Als chinesischer Hersteller könnte Evovacs von staatlichen Stellen aber auch zur Überwachung gezwungen werden. „Aber selbst wenn man dem Hersteller traut, könnten die Server des Unternehmens kompromittiert sein“, sagt Giese. „Wenn die lokale Sicherheit schon so schlecht ist, dann traue ich der Server-Sicherheit auch nicht“.
Besonders erbost zeigt sich der Sicherheitsforscher davon, dass der Hersteller mit Zertifikaten des TÜV-Rheinland wirbt, die auch den jetzt gehackten Geräten „geprüfte Sicherheit“ bescheinigen. „Wenn ich den Zertifikaten nicht trauen kann, auf was kann ich mich denn dann noch verlassen?“, sagt Giese.
Der TÜV Rheinland erklärte dazu, man habe Modelle von Staubsauger-Robotern des Herstellers Ecovacs „gemäß der europäischen Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“ (ETSI EN 303 645) geprüft. Dabei geht es um grundlegende Anforderungen an Cybersicherheit und Datenschutz von IoT-Geräten nach der Prüfmethode TS ETSI 103701.“ Eine solche Basisprüfung bedeute jedoch nicht, „dass ein IoT-Gerät zu 100% vor Cyberangriffen geschützt ist“, schreibt der TÜV weiter. Zertifizierte Geräte würden lediglich über Sicherheitsmechanismen verfügen, um Bedrohungen durch Cyberangriffe zu begegnen. „Das Ausnutzen von unbekannten Schwachstellen durch physische Angriffe oder Angriffe auf kurze Distanz wird bei einer Zertifizierung gemäß der Norm nicht untersucht, da es in den Bereich professioneller Hacking-Angriffe fällt.“ Mit anderen Worten: Der TÜV prüft, ob das Haus Türen mit Schlössern hat, aber nicht, ob routinemäßig abgeschlossen wird.
Wie kann man sich vor Spionage schützen?
Mittlerweile, sagt Giese, habe Evovacs auch angekündigt, die gefunden Schwachstellen zu patchen. Aber auch wenn die jetzt präsentierten Lücken gestopft werden, bleiben zahlreiche Fragen und Sicherheitsprobleme offen. Seit Jahren propagiert er gemeinsam mit anderen Entwickler:innen eine radikale Alternative: Die Staubsauger zu rooten und durch eine freie Software zu ersetzen.