Ecovacs mit Statement zu Schwachstellen in Saugrobotern und weiteren Produkten

Zahlreiche Geräte von Ecovacs sollen Schwachstellen haben (wir berichteten). Mit genügend Know-how soll es angeblich möglich sein, Geräte zu kapern und integrierte Kameras und Mikrofone zu überwachen. Während Ecovacs laut den Sicherheitsforschern nicht auf deren Hinweise reagiert hat, verschickt man aktuell Statements an die Presse, die über den Fall berichtet haben. Sollte dies der Fall sein und Ecovacs wirklich jetzt erst reagieren, ist das ein Armutszeugnis, denn wenn Sicherheitsforscher Schwachstellen melden, sollte man als Unternehmen hinhorchen.

Und, was sagt man bei Ecovacs? Nach der umfassenden internen Überprüfung wurde festgestellt, dass die identifizierten Sicherheitsprobleme in regulären Benutzerumgebungen äußerst selten sind und professionelle Hacking-Tools sowie physischen Kontakt mit dem Gerät erfordern. Zur Bluetooth-Anfälligkeit gibt man wie folgt mit: Das Durchbrechen der PIN-Code-Verifizierung der Bluetooth-Verbindung erfordert, dass man sich im Bluetooth-Abdeckungsbereich des Geräts befindet und spezialisierte Hacking-Tools verwendet.

Das Unternehmen betrachtet dies als „eine Hacking-Methode in technischen Verteidigungs- und Angriffsaktionen, aber es ist nicht etwas, das typischerweise im täglichen Leben vorkommt„. Man glaubt gar, dass dieses Verfahren illegal sei. Aber mal ganz ehrlich, es ist möglich, da sollte Ecovacs etwas unternehmen und nicht herumlamentieren, dass eine Methode evtl. illegal sei. Immerhin: Das Unternehmen wird die Sicherheit der Bluetooth-Verbindungen seiner Produkte durch technische Maßnahmen verbessern, wie z. B. die Einschränkung von Zweitkontenanmeldungen, die Verstärkung des zweiten Verifizierungsprozesses für Bluetooth-Geräteverbindungen und die Anforderung physischer Operationen zur Vervollständigung der Bluetooth-Paarung.

Die Sicherheitsforscher mahnten auch an, dass Daten weiterhin verfügbar blieben, selbst wenn ein Nutzer sein Konto gelöscht hat. Laut Unternehmen geht es da um anonymisierte Daten, die man behält, um etwaige Offline-Probleme zu diagnostizieren – was auch immer das heißt. Wenn ein Benutzer sein Konto deaktiviert, anonymisiert Ecovacs die zugehörigen Produktnutzungsdaten in der Cloud.

Die Geräte würden nur „mit speziellen Hacking-Tools gehackt werden können„, um auf Geräteprotokollinformationen zuzugreifen, und erlauben das Anzeigen von Cloud-Daten innerhalb des siebentägigen Gültigkeitszeitraums nur, wenn die Cloud-Zugriffstoken geknackt wurden. Da will man nun Abhilfe schaffen.

Man verpflichtet sich, die Produktsicherheit durch Software-Updates zu verbessern, einen Echtzeit-Token-Invalidierungsmechanismus zu aktivieren, die Schwierigkeit des Erhaltens von Tokens zu erhöhen und Protokolle nach dem Zurücksetzen zu löschen, um die Datensicherheit zu gewährleisten. Auch die weiteren Probleme wolle man beheben. Man plane, die Systemsicherheit in zukünftigen Produkt-Updates zu stärken. Diese Maßnahmen umfassen die Verschlüsselung von Firmware-Paketen, sicheres Booten, TLS-Zertifikatsvalidierung und Dateiverschlüsselung.

Tjoa, mal schauen, was da passiert. Spätestens zur nächsten DefCon wird man vielleicht etwas hören.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Da Kriminelle ausschließlich nur den legalen Weg bestreiten, muss man sich ja offensichtlich keine Sorgen machen.

  2. Das ist an Lächerlichkeit kaum zu übertreffen…

    Vor allem die Logik, dass diese Art von Hackingangriffen illegal sei und man sich deshalb nicht in der Pflicht sehe, etwas zu tun, ist natürlich supergeil. Nach derselben Logik bräuchte ich an meiner Haustür kein Schloss; ein „Betreten verboten“ – Schild reicht völlig aus… 😀

    • Man könnte meinen, dass unsere Politiker bei Ecovacs arbeiten…… Ich sage nur Messerverbotszone oder Umweltzonen 😀

  3. „mit speziellen Hacking-Tools“ – mit einem sogenannten „Smartphone“.

    Zitat Techcrunch: „The main issue, according to the researchers, is that there is a vulnerability that allows anyone using a phone to connect to and take over an Ecovacs robot via Bluetooth from as far away as 450 feet (around 130 meters)“

    „sowie physischen Kontakt“ – je nach Gerät ist Bluetooth immer aktiv oder 20 Minuten nach dem Einschalten; dann braucht’s nicht mal den physischen Kontakt.

    Produkte mit Sicherheitslücken anzubieten ist das eine, die Art und Weise, wie damit umgegangen wird bzw. wie die Kommunikation erfolgt, ist das andere. Für mich liest sich das nämlich auch erst mal wie „so schlimm ist das ja nicht, denn damit etwas passieren kann, muss schon irgendjemand Drittes böse sein“ …

  4. Super. Also wirklich im positiven Sinne.
    So dingern können passieren, es ist eben Software. Wie Unternehmen damit umgehen ist relevant. Daher landet Ecovacs einfach auf der roten Liste.
    Genau das Gegenteil hat damals AVM beispielsweise durch seine offene Kommunikation erreicht, die sind auf der Tiefgrünen Liste gelandet.

    • AVM ist bei mir aus bekannten anderen Gründen auf der roten Liste. Auf dieser haben sich im Laufe der Zeit durchaus einige illustre Namen angehäuft, zuletzt Dyson, jetzt auch Ecovacs. Manche Namen habe ich irgendwann auch mal wieder gelöscht, andere haben einen Platz auf Lebenszeit. 😉

  5. Hätten die die Zeit zum verfassen des Statements in die Verbesserung ihrer Roboter investiert wäre das wesentlich sinnvoller gewesen.

    „Man verpflichtet sich, die Produktsicherheit durch Software-Updates zu verbessern, einen Echtzeit-Token-Invalidierungsmechanismus zu aktivieren, die Schwierigkeit des Erhaltens von Tokens zu erhöhen und Protokolle nach dem Zurücksetzen zu löschen, um die Datensicherheit zu gewährleisten. Auch die weiteren Probleme wolle man beheben. Man plane, die Systemsicherheit in zukünftigen Produkt-Updates zu stärken. Diese Maßnahmen umfassen die Verschlüsselung von Firmware-Paketen, sicheres Booten, TLS-Zertifikatsvalidierung und Dateiverschlüsselung.“
    Das kling echt so nach „Verflixt, jetzt haben die gemerkt dass uns die Sicherheit bis jetzt egal war weil die Roboter ja liefen“. Ich lehn mich jetzt mal aus dem Fenster und behaupte dass das eine Kostenfrage war.

  6. Diebstahlschutz entfernen. Diebstahl ist illegal. Und man braucht spezielle Werkzeuge dafür, z.B. einen Arm mit Hand.

  7. Wie sagte ein Dozent von mir doch so treffend: „Voll verkackt – Und das auf den Rand.“
    Der nächste Robbi kommt aus Deutschland: Technisch wahrscheinlich auf dem Stand eines Wischmobs. Und den kann ja auch keiner klauen, ist ja auch verboten.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.