Ecovacs mit Statement zu Schwachstellen in Saugrobotern und weiteren Produkten
von caschy | 4 Kommentare
Zahlreiche Geräte von Ecovacs sollen Schwachstellen haben (wir berichteten). Mit genügend Know-how soll es angeblich möglich sein, Geräte zu kapern und integrierte Kameras und Mikrofone zu überwachen. Während Ecovacs laut den Sicherheitsforschern nicht auf deren Hinweise reagiert hat, verschickt man aktuell Statements an die Presse, die über den Fall berichtet haben. Sollte dies der Fall sein und Ecovacs wirklich jetzt erst reagieren, ist das ein Armutszeugnis, denn wenn Sicherheitsforscher Schwachstellen melden, sollte man als Unternehmen hinhorchen.
Und, was sagt man bei Ecovacs? Nach der umfassenden internen Überprüfung wurde festgestellt, dass die identifizierten Sicherheitsprobleme in regulären Benutzerumgebungen äußerst selten sind und professionelle Hacking-Tools sowie physischen Kontakt mit dem Gerät erfordern. Zur Bluetooth-Anfälligkeit gibt man wie folgt mit: Das Durchbrechen der PIN-Code-Verifizierung der Bluetooth-Verbindung erfordert, dass man sich im Bluetooth-Abdeckungsbereich des Geräts befindet und spezialisierte Hacking-Tools verwendet.
Das Unternehmen betrachtet dies als „eine Hacking-Methode in technischen Verteidigungs- und Angriffsaktionen, aber es ist nicht etwas, das typischerweise im täglichen Leben vorkommt„. Man glaubt gar, dass dieses Verfahren illegal sei. Aber mal ganz ehrlich, es ist möglich, da sollte Ecovacs etwas unternehmen und nicht herumlamentieren, dass eine Methode evtl. illegal sei. Immerhin: Das Unternehmen wird die Sicherheit der Bluetooth-Verbindungen seiner Produkte durch technische Maßnahmen verbessern, wie z. B. die Einschränkung von Zweitkontenanmeldungen, die Verstärkung des zweiten Verifizierungsprozesses für Bluetooth-Geräteverbindungen und die Anforderung physischer Operationen zur Vervollständigung der Bluetooth-Paarung.
Die Sicherheitsforscher mahnten auch an, dass Daten weiterhin verfügbar blieben, selbst wenn ein Nutzer sein Konto gelöscht hat. Laut Unternehmen geht es da um anonymisierte Daten, die man behält, um etwaige Offline-Probleme zu diagnostizieren – was auch immer das heißt. Wenn ein Benutzer sein Konto deaktiviert, anonymisiert Ecovacs die zugehörigen Produktnutzungsdaten in der Cloud.
Die Geräte würden nur „mit speziellen Hacking-Tools gehackt werden können„, um auf Geräteprotokollinformationen zuzugreifen, und erlauben das Anzeigen von Cloud-Daten innerhalb des siebentägigen Gültigkeitszeitraums nur, wenn die Cloud-Zugriffstoken geknackt wurden. Da will man nun Abhilfe schaffen.
Man verpflichtet sich, die Produktsicherheit durch Software-Updates zu verbessern, einen Echtzeit-Token-Invalidierungsmechanismus zu aktivieren, die Schwierigkeit des Erhaltens von Tokens zu erhöhen und Protokolle nach dem Zurücksetzen zu löschen, um die Datensicherheit zu gewährleisten. Auch die weiteren Probleme wolle man beheben. Man plane, die Systemsicherheit in zukünftigen Produkt-Updates zu stärken. Diese Maßnahmen umfassen die Verschlüsselung von Firmware-Paketen, sicheres Booten, TLS-Zertifikatsvalidierung und Dateiverschlüsselung.
Tjoa, mal schauen, was da passiert. Spätestens zur nächsten DefCon wird man vielleicht etwas hören.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Da Kriminelle ausschließlich nur den legalen Weg bestreiten, muss man sich ja offensichtlich keine Sorgen machen.
Das ist an Lächerlichkeit kaum zu übertreffen…
Vor allem die Logik, dass diese Art von Hackingangriffen illegal sei und man sich deshalb nicht in der Pflicht sehe, etwas zu tun, ist natürlich supergeil. Nach derselben Logik bräuchte ich an meiner Haustür kein Schloss; ein „Betreten verboten“ – Schild reicht völlig aus… 😀
„mit speziellen Hacking-Tools“ – mit einem sogenannten „Smartphone“.
Zitat Techcrunch: „The main issue, according to the researchers, is that there is a vulnerability that allows anyone using a phone to connect to and take over an Ecovacs robot via Bluetooth from as far away as 450 feet (around 130 meters)“
„sowie physischen Kontakt“ – je nach Gerät ist Bluetooth immer aktiv oder 20 Minuten nach dem Einschalten; dann braucht’s nicht mal den physischen Kontakt.
Produkte mit Sicherheitslücken anzubieten ist das eine, die Art und Weise, wie damit umgegangen wird bzw. wie die Kommunikation erfolgt, ist das andere. Für mich liest sich das nämlich auch erst mal wie „so schlimm ist das ja nicht, denn damit etwas passieren kann, muss schon irgendjemand Drittes böse sein“ …
Super. Also wirklich im positiven Sinne.
So dingern können passieren, es ist eben Software. Wie Unternehmen damit umgehen ist relevant. Daher landet Ecovacs einfach auf der roten Liste.
Genau das Gegenteil hat damals AVM beispielsweise durch seine offene Kommunikation erreicht, die sind auf der Tiefgrünen Liste gelandet.