Sicherheitsforscher haben im Staubsauger-Roboter Tesvor X500 eine kritische Schwachstelle gefunden. Die Geräte lassen sich von einem Angreifer remote steuern und die Daten (z.B. Grundriss einer Wohnung) ließe sich ermitteln. Zudem könnten Angreifer bei der Inbetriebnahme ein Zertifikat abfangen und missbrauchen.
Anzeige
Wenn ich es richtig mitbekommen habe, sind neben Mäh-Robotern auch Staubsauger-Roboter bei einigen Leuten ziemlich hipp. Es ist nachvollziehbar, wenn ein Gerät verspricht, lästige Arbeiten automatisch zu erledigen. Allerdings hat die Technik auch ihre Tücken: Von einer US-Kollegin weiß ich durch einen Blog-Beitrag, dass solche Technik schon mal streiken kann und für Ärger sorgt. Wie es mit der Lebensdauer der Akkus steht, und ob es da Ersatz gibt, müssen die Gerätebesitzer selbst herausfinden. Bei Staubsauger-Robotern, die im Haus unterwegs sind, kommen noch Sicherheitsaspekte hinzu.
Wie gut sind die Geräte abgesichert?
Denn es gibt noch ein weiteres Problem. Die in vielen Haushalten aktiven Helfer verrichten zwar ihre Arbeit, sobald die Wohnung verlassen wird. Staubsauger-Roboter müssen aber einige Daten mit ihrer Kamera und anderen Sensoren Daten über die Wohnung und erstellen. Benötigt wird beispielsweise ein Grundriss, damit der Roboter sich autonom durch die Wohnung bewegen kann. Das Problem: Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche.
In der Vergangenheit gab es immer wieder Berichte, dass die gesammelten Daten der Geräte über ungesicherte Verbindungen oder Schwachstellen abrufbar waren. Heise hatte bereits 2017 in diesem Bericht über einen gehackten Staubsauger "Mi Robot Vacuum" von Xiaomi berichtet. Sicherheitsforscher der TU Darmstadt hatte die Schwachstellen bei einem Modell von Mi Robot beschrieben, durch die ein schädliches Update eingespielt werden konnte. Auch bezüglich anderer Saugroboter wurden Sicherheitslücken veröffentlicht – bei den Modellen konnten Angreifer die Kontrolle übernehmen oder Kamera und Mikrofon ausgelesen werden. Anfang Januar 2019 hat sich AV-Test hier mit dem Sicherheitsrisiko Staubsauger-Roboter befasst.
Sicherheitsrisiko Saugroboter Tesvor X500
Nun hat sich das System Security Lab an der TU Darmstadt, das sich mit der Sicherheitsanalyse sogenannter IoT-Geräte (Internet of Things) beschäftigt, weitere Geräte vorgenommen. Beim Test wurden dabei erhebliche Sicherheitsprobleme im Saugroboter Tesvor X500 gefunden. Dieses recht verbreitete Modell im unteren Preissegment wird über den Online-Handel vertrieben.
Anzeige
Zugriff per AWS, 'Authentifizierung' per MAC-Adresse
Die Tesvor Saug- und Wischroboter nutzen als Back-End „Amazon Web Services (AWS) Internet of Things (IoT)". Die App, mit der der Staubsauger gesteuert wird, benutzt als Authentifikation für die Steuerungsberechtigung nur dessen MAC-Adresse. Das kann ein Angreifer ausnutzen, da MAC-Adressen in Folge vergeben werden und der Hersteller sonst keine weiteren Sicherheitsmaßnahmen (Zugriffsbeschränkung oder Ähnliches) verwendet. Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum Treffer „durchprobieren".
Diese von den Forschern aufgedeckte Sicherheitslücke erlaubt einem Angreifer, aus der Ferne und überall auf der Welt alle Tesvor Saug- und Wischroboter anzusteuern. Weiterhin lässt sich deren Status und den Grundriss der Wohnung abrufen.
Sicherheitszertifikat wird bei Inbetriebnahme eingerichtet
Den Sicherheitsforschern ist eine weitere Schwachstelle aufgefallen: Das Gerät wird ab Werk ohne Sicherheitszertifikat für die Absicherung der Kommunikation ausgeliefert. Damit kann keine geschützte Verbindung bei der Inbetriebnahme aufgebaut werden.
Die Sicherheitsforscher schreiben, dass durch diese Handhabung der Zertifikate durch den Hersteller ein weiteres Sicherheitsproblem entsteht. Normalerweise benutzt AWS IoT für Authentizität und Vertraulichkeit in der Kommunikation zwischen Gerät und Cloud Zertifikate, die bei der Produktion vom Hersteller auf das Gerät vorinstalliert werden sollen. Nur so kann das Gerät sofort bei Einrichtung bereits eine geschützte Verbindung zu AWS aufbauen.
Die Geräte von Tesvor werden aber ohne Zertifikat ausgeliefert und fordern bei der erstmaligen Aktivierung das Zertifikat vom den Herstellerserver an. Danach verbinden sie sich mit AWS IoT. Problem dabei: Dieser Zertifikatsaustausch ist durch die ungesicherte Verbindung nicht authentifiziert. Somit wird eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server „in der Mitte" abgefangen werden kann. Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben. Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben.
Die TU-Forscher haben, wie sie hier schreiben, den Gerätehersteller mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen – eine Antwort steht noch aus.
Ergänzung: Für bestimmte Modelle gibt es Lösungen, wie man den Datenabfluss begrenzen kann. Ich habe das im Blog-Beitrag Valetudo: Den automatischen Staubsauger-Roboter datenmäßig zähmen mal aufgegriffen.
Anzeige
Sicherheitsrisiken betreffen alle IoT Geräte, weil kein Hersteller bei diesem Problem mitdenkt.
Den von dir genannten Risiken durch die Verbindung ins Internet mit bösen Folgen fehlt noch ein wichtiger Aspekt.
Und zwar betrifft das Versicherungen, wie Haftpflicht, Hausrat und Feuerschutz usw…..
Nach meinem Kenntnisstand darf kein elektrisches Gerät ohne Aufsicht betrieben werden.
Das bedeutet, bei Verlassen der Wohnung oder des Hauses müssen Geräte ausgeschaltet sein.
Anderen falls kann die Versicherung die Schadenregulierung ganz oder teilweise verweigern.
Zum letzten Satz: Gibt es eine Fundstelle? Kühlschrank, Heizung, etc
.laufen durch.
Hilfe, mein Staubsauger spioniert mich aus – ganz großes Kino.
"Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben."
Ätsch, ich bin ein Toaster. 😀
Das wird scheinbar immer schlimmer. Habe gerade nochmal schnell gegoogelt und bin auch auf Berichte gestoßen nach denen manche dieser Roboter Daten mit Dritten teilen, wie z.B. mit Facebook und AirBnB (gefunden in einem t-online-Artikel aus Sept. 2019). In einem anderen Bericht steht im Vorspann folgender Text: "Forschern der Universität von Maryland ist es gelungen, einen Staubsauger aus der Ferne zu hacken, um Sprache und Musik – auch ohne Mikrofon – aufzunehmen. Doch auch das Navigationssystem von Saugrobotern verrät viel über ihre Besitzer, einschließlich politischer Ausrichtung, Einkommen, Arbeit und Familie." (gefunden bei Epochtimes in einem Beitrag aus Nov. 2020) — da bleibe ich doch lieber "oldschool".