Anzeige
Anzeige
MIT Technology Review News

TÜV-Siegel ohne Wert? Sicherheitsforscher hacken zertifizierte Staubsauger-Roboter

Angreifer können die Kameras und Mikrofone von Staubsaugerrobotern, mobilen Luftfiltern und Rasenmäherrobotern von Ecovacs aktivieren und die nichts ahnenden Besitzer:innen damit ausspionieren. Sicherheitsforscher Dennis Giese erklärt die Hintergründe.

Von Wolfgang Stieler
3 Min.
Artikel merken
Anzeige
Anzeige
Smarte Haushaltsgeräte sind praktisch. Aber wie sieht es mit den Daten aus? (Foto: ORION PRODUCTION / Shutterstock.com)

Eine fahrbare Kamera mit Mikrofonen in jeder Wohnung – das klingt wie der Traum jedes Überwachers. Dass solche Orwell-Träume wahr werden könnten, haben die Sicherheitsforscher Dennis Giese und Braelynn kürzlich auf der Hacking-Konferenz Def Con gezeigt. Sie kaperten per Bluetooth Staubsauger-Roboter, lasen Wohnungspläne aus und aktivierten unbemerkt Kameras und Mikrofone der Bots.

Anzeige
Anzeige

Dass Staubsauger-Roboter zu Spionen in der eigenen Wohnung werden können, ist grundsätzlich nicht neu. Zuletzt hatte sich das vor vier Jahren gezeigt. Damals waren teils sehr private Fotos von Nutzer:innen von Roomba-Robotern im Internet gelandet – darunter Aufnahmen eines Minderjährigen und einer Frau, die auf der Toilette sitzt. Zwar werden immer wieder solche Sicherheitslücken aufgedeckt und dann auch geschlossen. Aber bei zahlreichen neuen Modellen tauchen immer neue Lücken auf – und das Missbrauchspotenzial steigt, weil die Hardware immer besser wird.

Warum haben Staubsauger Kameras?

Um sich in der Wohnung zu orientieren, nutzen viele Roboter-Staubsauger Lidar-Lasersensoren. Lidar ist aber vergleichsweise teuer. „Mittlerweile haben viele Hersteller aber erkannt, dass Kameras sehr viel billiger sind“, sagt der Sicherheitsforscher Dennis Giese. Da die Hardware der Roboter immer leistungsfähiger geworden ist, läuft auf vielen Geräten mittlerweile zudem eine einfache Objekterkennung. „Viele Kunden machen sich Sorgen um ihre Haustiere, beziehungsweise auch deren mögliche Hinterlassenschaften“, sagt Giese. Mit Kameras und KI ausgestattet erkennen die Roboter Tiere, spielende Kinder und Hindernisse, die sie umfahren sollen. Mikrofone und eine Spracherkennung erlauben eine Steuerung der Geräte per Sprache.

Anzeige
Anzeige

Warum ist das ein Problem?

Das Problem ist allerdings, dass die Geräte zwar fahrende Sensor-Plattformen sind, die Hardware aber in der Regel nicht besonders gut gesichert ist. Giese und seine Mitstreiter:innen fanden bei den untersuchten Evovacs-Geräten „elementare Fehler“. So war es beispielsweise möglich, aus der App eines angemeldeten Users Zertifikate zu stehlen, die sie dann nutzen konnten, um eine Bluetooth-Verbindung zu fremden Roboter-Saugern aufzubauen und Code zu übertragen, der dann auf dem Roboter ausgeführt wurde. „Auf dem Roboter ist das WLAN-Password gespeichert, vielleicht auch noch die Email des Nutzers“, sagt Giese. „Man kann die Mikrofone und Kameras aktivieren und die Leute ausspionieren. Man lernt, wie die Enkelin heißt, wann und wohin es in den Urlaub geht, was für ein Auto sie fahren“. Informationen, die zum Beispiel für Phishing-Versuche genutzt werden könnten.

Zudem schicken die Geräte bei ihrer Arbeit zahlreiche Daten zu den Servern des Herstellers: Lagepläne der Wohnungen, Bilder, Nutzungsstatistiken und so weiter. Die Hersteller nutzen diese Daten nach eigenen Angaben, um die Software der Roboter weiter zu verbessern – was in manchen Fällen auch heißt, KI-Modelle weiter zu trainieren. Als chinesischer Hersteller könnte Evovacs von staatlichen Stellen aber auch zur Überwachung gezwungen werden. „Aber selbst wenn man dem Hersteller traut, könnten die Server des Unternehmens kompromittiert sein“, sagt Giese. „Wenn die lokale Sicherheit schon so schlecht ist, dann traue ich der Server-Sicherheit auch nicht“.

Anzeige
Anzeige

Besonders erbost zeigt sich der Sicherheitsforscher davon, dass der Hersteller mit Zertifikaten des TÜV-Rheinland wirbt, die auch den jetzt gehackten Geräten „geprüfte Sicherheit“ bescheinigen. „Wenn ich den Zertifikaten nicht trauen kann, auf was kann ich mich denn dann noch verlassen?“, sagt Giese.

Der TÜV Rheinland erklärte dazu, man habe Modelle von Staubsauger-Robotern des Herstellers Ecovacs „gemäß der europäischen Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“ (ETSI EN 303 645) geprüft. Dabei geht es um grundlegende Anforderungen an Cybersicherheit und Datenschutz von IoT-Geräten nach der Prüfmethode TS ETSI 103701.“ Eine solche Basisprüfung bedeute jedoch nicht, „dass ein IoT-Gerät zu 100% vor Cyberangriffen geschützt ist“, schreibt der TÜV weiter. Zertifizierte Geräte würden lediglich über Sicherheitsmechanismen verfügen, um Bedrohungen durch Cyberangriffe zu begegnen. „Das Ausnutzen von unbekannten Schwachstellen durch physische Angriffe oder Angriffe auf kurze Distanz wird bei einer Zertifizierung gemäß der Norm nicht untersucht, da es in den Bereich professioneller Hacking-Angriffe fällt.“ Mit anderen Worten: Der TÜV prüft, ob das Haus Türen mit Schlössern hat, aber nicht, ob routinemäßig abgeschlossen wird.

Anzeige
Anzeige

Wie kann man sich vor Spionage schützen?

Mittlerweile, sagt Giese, habe Evovacs auch angekündigt, die gefunden Schwachstellen zu patchen. Aber auch wenn die jetzt präsentierten Lücken gestopft werden, bleiben zahlreiche Fragen und Sicherheitsprobleme offen. Seit Jahren propagiert er gemeinsam mit anderen Entwickler:innen eine radikale Alternative: Die Staubsauger zu rooten und durch eine freie Software zu ersetzen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige