![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher haben im Staubsauger-Roboter Tesvor X500 eine kritische Schwachstelle gefunden. Die Ger\u00e4te lassen sich von einem Angreifer remote steuern und die Daten (z.B. Grundriss einer Wohnung) lie\u00dfe sich ermitteln. Zudem k\u00f6nnten Angreifer bei der Inbetriebnahme ein Zertifikat abfangen und missbrauchen.<\/p>\n
<\/p>\n
Denn es gibt noch ein weiteres Problem. Die in vielen Haushalten aktiven Helfer verrichten zwar ihre Arbeit, sobald die Wohnung verlassen wird. Staubsauger-Roboter m\u00fcssen aber einige Daten mit ihrer Kamera und anderen Sensoren Daten \u00fcber die Wohnung und erstellen. Ben\u00f6tigt wird beispielsweise ein Grundriss, damit der Roboter sich autonom durch die Wohnung bewegen kann. Das Problem: Sensoren und Konnektivit\u00e4t, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Ger\u00e4ten eine gro\u00dfe Angriffsfl\u00e4che.<\/p>\n In der Vergangenheit gab es immer wieder Berichte, dass die gesammelten Daten der Ger\u00e4te \u00fcber ungesicherte Verbindungen oder Schwachstellen abrufbar waren. Heise hatte bereits 2017 in diesem Bericht<\/a> \u00fcber einen gehackten Staubsauger \"Mi Robot Vacuum\" von Xiaomi berichtet. Sicherheitsforscher der TU Darmstadt hatte die Schwachstellen bei einem Modell von Mi Robot beschrieben, durch die ein sch\u00e4dliches Update eingespielt werden konnte. Auch bez\u00fcglich anderer Saugroboter wurden Sicherheitsl\u00fccken ver\u00f6ffentlicht \u2013 bei den Modellen konnten Angreifer die Kontrolle \u00fcbernehmen oder Kamera und Mikrofon ausgelesen werden. Anfang Januar 2019 hat sich AV-Test hier<\/a> mit dem Sicherheitsrisiko Staubsauger-Roboter befasst.<\/p>\n Nun hat sich das System Security Lab an der TU Darmstadt, das sich mit der Sicherheitsanalyse sogenannter IoT-Ger\u00e4te (Internet of Things) besch\u00e4ftigt, weitere Ger\u00e4te vorgenommen. Beim Test wurden dabei erhebliche Sicherheitsprobleme im Saugroboter Tesvor X500 gefunden. Dieses recht verbreitete Modell im unteren Preissegment wird \u00fcber den Online-Handel vertrieben.<\/p>\n Die Tesvor Saug- und Wischroboter nutzen als Back-End \u201eAmazon Web Services (AWS) Internet of Things (IoT)\". Die App, mit der der Staubsauger gesteuert wird, benutzt als Authentifikation f\u00fcr die Steuerungsberechtigung nur dessen MAC-Adresse. Das kann ein Angreifer ausnutzen, da MAC-Adressen in Folge vergeben werden und der Hersteller sonst keine weiteren Sicherheitsma\u00dfnahmen (Zugriffsbeschr\u00e4nkung oder \u00c4hnliches) verwendet. Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum Treffer \u201edurchprobieren\".<\/p>\n Diese von den Forschern aufgedeckte Sicherheitsl\u00fccke erlaubt einem Angreifer, aus der Ferne und \u00fcberall auf der Welt alle Tesvor Saug- und Wischroboter anzusteuern. Weiterhin l\u00e4sst sich deren Status und den Grundriss der Wohnung abrufen.<\/p>\n Den Sicherheitsforschern ist eine weitere Schwachstelle aufgefallen: Das Ger\u00e4t wird ab Werk ohne Sicherheitszertifikat f\u00fcr die Absicherung der Kommunikation ausgeliefert. Damit kann keine gesch\u00fctzte Verbindung bei der Inbetriebnahme aufgebaut werden.<\/p>\n Die Sicherheitsforscher schreiben, dass durch diese Handhabung der Zertifikate durch den Hersteller ein weiteres Sicherheitsproblem entsteht. Normalerweise benutzt AWS IoT f\u00fcr Authentizit\u00e4t und Vertraulichkeit in der Kommunikation zwischen Ger\u00e4t und Cloud Zertifikate, die bei der Produktion vom Hersteller auf das Ger\u00e4t vorinstalliert werden sollen. Nur so kann das Ger\u00e4t sofort bei Einrichtung bereits eine gesch\u00fctzte Verbindung zu AWS aufbauen.<\/p>\n Die Ger\u00e4te von Tesvor werden aber ohne Zertifikat ausgeliefert und fordern bei der erstmaligen Aktivierung das Zertifikat vom den Herstellerserver an. Danach verbinden sie sich mit AWS IoT. Problem dabei: Dieser Zertifikatsaustausch ist durch die ungesicherte Verbindung nicht authentifiziert. Somit wird eine sogenannte Man-in-the-Middle-Attacke m\u00f6glich, wodurch das Zertifikat quasi von einem Mith\u00f6rer zwischen Roboter und Server \u201ein der Mitte\" abgefangen werden kann. Der Angreifer kann dann die gesch\u00fctzte Verbindung zwischen Ger\u00e4t und Cloud mitlesen, ver\u00e4ndern oder sich als Ger\u00e4t ausgeben. Des Weiteren k\u00f6nnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Ger\u00e4t ausgeben.<\/p>\n Die TU-Forscher haben, wie sie hier schreiben<\/a>, den Ger\u00e4tehersteller mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen \u2013 eine Antwort steht noch aus.<\/p>\nWenn ich es richtig mitbekommen habe, sind neben M\u00e4h-Robotern auch Staubsauger-Roboter bei einigen Leuten ziemlich hipp. Es ist nachvollziehbar, wenn ein Ger\u00e4t verspricht, l\u00e4stige Arbeiten automatisch zu erledigen. Allerdings hat die Technik auch ihre T\u00fccken: Von einer US-Kollegin wei\u00df ich durch einen Blog-Beitrag<\/a>, dass solche Technik schon mal streiken kann und f\u00fcr \u00c4rger sorgt. Wie es mit der Lebensdauer der Akkus steht, und ob es da Ersatz gibt, m\u00fcssen die Ger\u00e4tebesitzer selbst herausfinden. Bei Staubsauger-Robotern, die im Haus unterwegs sind, kommen noch Sicherheitsaspekte hinzu.<\/p>\n
Wie gut sind die Ger\u00e4te abgesichert?<\/h2>\n
Sicherheitsrisiko Saugroboter Tesvor X500<\/h2>\n
Zugriff per AWS, 'Authentifizierung' per MAC-Adresse<\/h3>\n
Sicherheitszertifikat wird bei Inbetriebnahme eingerichtet<\/h3>\n