![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Automatische Roboter-Staubsauger sind inzwischen ja in vielen Haushalten. Die Ger\u00e4te saugen nicht nur Staub, sondern auch Daten. Wie kann der Besitzer eines solchen Ger\u00e4ts ggf. den Abfluss von Daten in die Cloud des Herstellers verhindern? Ich hatte diesbez\u00fcglich mit einem Leser Kontakt und stelle nachfolgend einigen Informationen bereit.<\/p>\n
<\/p>\n
Die Strategen bei Romba sind n\u00e4mlich auf den Trichter gekommen, dass im SmartHome viele Informationen von Lampen, intelligenten Thermostaten und so weiter vorliegen. Der iRobot (oder Nachfolger) k\u00f6nnte die gereinigten R\u00e4ume kartieren.<\/p>\n Diese Kartierungsdaten lie\u00dfen sich m\u00f6glicherweise an Anbieter wie Amazon oder Google verkaufen. Mit den Kartierungsdaten lie\u00dfen sich Klimaanlagen genauer steuern oder Raumklang-Systeme anpassen.<\/p>\n Bitdefender hat in einem Beitrag\u00a0Wie viel wei\u00df Ihr intelligenter Staubsauger \u00fcber Sie?<\/a> von September 2024 mal zusammen getragen, was so ein intelligentes Ger\u00e4t alles \u00fcber seinen Besitzer wei\u00df. Auch dort ging es um den iRobot und den Umstand, dass Amazon den Hersteller \u00fcbernehmen will. Und es ging um die Frage, was ein solches Ger\u00e4t an Informationen sammelt, und welche Daten verkauft werden k\u00f6nnten.<\/p>\n Und das Ger\u00e4t hat Informationen \u00fcber das Heimnetzwerk, da es sich per WLAN einbuchen muss.<\/p>\n Dann gab es noch den Blog-Beitrag Ecovacs-Heimroboter als Sicherheitsrisko<\/a>, in dem ich eine Analyse, welche Daten solche Ger\u00e4te an den Hersteller in die Cloud \u00fcbermitteln, ver\u00f6ffentlicht habe. Ecovacs-Heimroboter sind ein wandelndes Sicherheitsrisiko, Hacker k\u00f6nnen die Ger\u00e4te \u00fcbernehmen und Daten \u00fcber den Eigent\u00fcmer etc. abrufen, wie eine Sicherheits\u00fcberpr\u00fcfung ergab.<\/span><\/p>\n Das f\u00fchrte zu einer Leserreaktion mit dem Hinweis, dass man bestimmte Ger\u00e4temodelle z\u00e4hmen kann. Blog-Leser\u00a0Marcel hatte sich mit diesem Kommentar<\/a> zum Beitrag \u00fcber den Ecovacs-Heimroboter gemeldet und auf Valetudo als L\u00f6sung hingewiesen. Seine Aussage: Wer nicht will, dass das Ger\u00e4t Daten in die Cloud sendet, nicht die App des Herstellers auf dem Handy installieren will und nicht will, dass der Hersteller Teile des Ger\u00e4ts abschaltet, kann Valetudo verwenden.<\/em> Die L\u00f6sung sorgt daf\u00fcr, dass der Hersteller nicht wei\u00df, dass das Ger\u00e4t jemals in Betrieb genommen wurde. Ich hatte bei Marcel nachgefragt, ob er weitere Informationen bereitstellen m\u00f6chte. Hier seine R\u00fcckmeldung mit Details.<\/p>\n Marcel schrieb, dass er einen\u00a0Staubsaugerroboter beschaffen wollte, um sich etwas Komfort zu g\u00f6nnen. Als er aber recherchierte, was diese Ger\u00e4te so k\u00f6nnen, stellte sich schnell Ern\u00fcchterung ein: man braucht eine App auf dem Handy, diese funkt nach China, kennt die Wohnung auf den Zentimeter genau, fotografiert und bewertet die Einrichtung. Und das Ganze funktioniert nicht mehr, wenn es die Herstellerfirma nicht mehr gibt. Sowas wollte der Leser nicht.<\/p>\n Marcel stie\u00df recht fr\u00fch auf den Auftritt von Dennis bei der DEFCON 31, der den Leser in allen Bedenken, aber auf eine lustige und sehr positive Weise, best\u00e4tigte. Der DEFCON 31-Vortrag ist auf Youtube<\/a> abrufbar.\u00a0In dem Video wird deutlich, dass die Ger\u00e4te:<\/p>\n In erster Linie st\u00f6rte den Leser der Kontrollverlust \u00fcber das Ger\u00e4t. Es ging um Fragen: Wie lange wird es funktionieren? Schaltet der Hersteller die Server ab oder deaktiviert er ein Bauteil? Nicht weniger st\u00f6rte Marcel aber auch die Tatsache der umfangreichen Datenweitergabe. Es f\u00fchlte sich wie Spionage im Privatbereich an.<\/p>\n Marcel kam parallel das Projekt Valetudo von S\u00f6ren Beye unter. Das Projekt setzt auf dem Root von Dennis auf. Der Leser begann sich mit den Details zu befassen. Wichtigste Pr\u00e4misse: Man muss hinter dem Projekt stehen und es wollen, wobei es nicht schlimm sein darf, wenn man den Roboter \"bricked\".<\/p>\n Marcel schrieb: \"Ich will niemanden zu Valetudo \u00fcberreden – jeder sollte selbst wissen, wie weit er geht.\"\u00a0Er verweist auf\u00a0Why Valetudo?<\/a> und Why not Valetudo?<\/a> zur Information.\u00a0Nach Lekt\u00fcre der Beitr\u00e4ge f\u00fchlte der Leser sich angefixt und wollte es ausprobieren. Also nahm er Kontakt zu S\u00f6ren auf und dieser schickte ihm ein PCB mit Bauteilen (sein Projekt auf GitHub<\/a>), welches er zum (Dream-)Adapter zusammenl\u00f6tete:<\/p>\n Grobes Vorgehen: Recon > Root > Valetudo-Installation<\/p>\n Alle n\u00f6tigen Befehle hat Marcel sich zuvor in eine Textdatei gepackt und diese optisch gut voneinander getrennt. Dann ist er zweimal alles trocken durchgegangen, da man wirklich nur 180 Sekunden Zeit hat, bevor Elektroschrott aus dem Roboter wird.<\/p>\n Beschreibung der\u00a0Fastboot Rooting – Methode<\/a><\/p>\n Schritte zur Rekonfigurierung:\u00a0Recon<\/p>\n Ger\u00e4t rooten: Root<\/p>\n Oder wenn man zu langsam war, und der Roboter mitten beim boot1<\/em> oder boot2<\/em> neu startet, weil die 180 Sekunden rum sind, 'haben wir einen teuren Ziegelstein'.\u00a0Wie schrieb Marcel: \"Nicht in Panik verfallen, wenn man die 180 Sekunden rei\u00dft, so wie ich beim ersten mal. Ich war gl\u00fccklicherweise mit dem Flashen von boot1<\/em> fertig und konnte in R\u00fccksprache mit S\u00f6ren und Dennis nach etwas Vorbereitung der neuen verk\u00fcrzten Befehlskette anschlie\u00dfend bei boot2<\/em> weitermachen.<\/p>\n Zur Valetudo-Installation hat man dann alle Zeit der Welt, da der Roboter nach Schritt 2 bereits gerootet ist und es keinen Watchdog mehr gibt. Hier die Schritte:<\/p>\n Abschlie\u00dfend meint Marcel: Interessenten k\u00f6nnen gerne mein PCB nutzen, wenn sie hier herkommen, ihr Debian-Notebook mitbringen, sich mit der Sache besch\u00e4ftigt haben und sich der Risiken bewusst sind.<\/p>\n Bob, so nennt Marcel den modifizierten Staubsaugerroboter, leistet hervorragende Arbeit. Er kann fein eingestellt werden, schreibt Marcel – alle Funktionen, die Bobs Hardware hergibt und die anpassbar sind, lassen sich anpassen. Bob arbeitet aber gerne auch einfach nur so im sehr guten Default-Setup ohne an seinen Skills rumschrauben zu m\u00fcssen.<\/p>\n Marcel schrieb: Ich kann mit ihm \u00fcber jedes Ger\u00e4t mit Browser Kontakt aufnehmen, welches sich im selben Netzwerk wie Bob befindet. Von Au\u00dfen ist Bob nicht erreichbar (kann man theoretisch \u00fcber dyn.-DNS und Routerfreigaben – das will ich aber f\u00fcr mein Heimnetz grunds\u00e4tzlich nicht). Er darf selbst auch mal ins Internet und bei S\u00f6ren gucken, ob es eine Aktualisierung f\u00fcr ihn gibt. Das schalte ich ihm frei, wenn ich eine Mail von S\u00f6ren zu einer neuen Valetudo-Version bekomme. Ich habe keine Bedenken hinsichtlich einer Software-Obsoleszenz mehr. Ich empfinde es als ein St\u00fcck zur\u00fcckgeholte Freiheit und ich habe das Sicherheitsgef\u00fchl, kein Spionage-IoT-Ger\u00e4t einzusetzen.<\/em><\/p>\n An dieser Stelle mein Dank an Marcel f\u00fcr die Zusammenstellung der Informationen. Vielleicht ist es Anregung f\u00fcr andere Blog-Leser, die ein solches Ger\u00e4t zu Hause haben oder die Beschaffung planen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Automatische Roboter-Staubsauger sind inzwischen ja in vielen Haushalten. Die Ger\u00e4te saugen nicht nur Staub, sondern auch Daten. Wie kann der Besitzer eines solchen Ger\u00e4ts ggf. den Abfluss von Daten in die Cloud des Herstellers verhindern? Ich hatte diesbez\u00fcglich mit einem … Weiterlesen Ich hatte das Thema ja schon mal im Blog-Beitrag iRobot: Der (Daten-)Staubsauger?<\/a> aufgegriffen. Es ging um einen intelligenten iRobot-Staubsauger des Herstellers Roomba. Der wuselt in R\u00e4umen herum und soll deren Fu\u00dfboden sauber von Schmutz halten. Das Teil lie\u00dfe sich aber als Datenstaubsauger und damit als Datenschleuder einsetzen.<\/p>\n
![\"Rototer-Staubsauger\"](\"https:\/\/i.postimg.cc\/tJc1YRT0\/image.png\")
<\/a><\/p>\n\n
Den Datenabfluss begrenzen<\/h2>\n
Ein Staubsaugerroboter wird gew\u00fcnscht<\/h3>\n
Werdegang einer Privacy-L\u00f6sung<\/h3>\n
\n
Valetudo zum Abkapseln des Staubsaugers<\/h3>\n
![\"Board\"](\"https:\/\/i.postimg.cc\/Zn2jF2BN\/image.png\")
<\/p>\nDanach bestellte Marcel den Dreame L10S Ultra Staubsauer (da dieser auf der Liste unterst\u00fctzter Ger\u00e4te steht) \u00fcber Amazon. Dann machte er sich ans Werk, die Anleitung von S\u00f6ren durchzuarbeiten (Rooting und Installation von Valetudo<\/a>). Ohne Linux-Kenntnisse bzw. ohne strukturierte und z\u00fcgige Arbeitsweise ist es nicht oder nur mit viel \u00dcbung und Konzentration zu schaffen!<\/h3>\n
\n
\n
Valetudo installieren<\/h3>\n
\n
Funktion und Zukunft<\/h2>\n
\niRobot: Der (Daten-)Staubsauger?<\/a>
\nEcovacs-Heimroboter als Sicherheitsrisko<\/a>
\nBSI: Smarthome-Ger\u00e4te werden nur unzureichend gesch\u00fctzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"