Ecovacs: Zahlreiche Produkte sind unsicher
von caschy | Ein Kommentar
Angreifer können die Kontrolle über Staubsauger- und Rasenmäherroboter von Ecovacs übernehmen, um ihre Besitzer mithilfe der Kameras und Mikrofone der Geräte auszuspionieren, wie neue Forschungen ergeben haben.
Die Sicherheitsforscher Dennis Giese und Braelynn hatten auf der Def-Con-Konferenz über ihre Untersuchungen zu Ecovacs-Robotern gesprochen. Bei der Analyse mehrerer Ecovacs-Produkte entdeckten die beiden Forscher eine Reihe von Schwachstellen, die ausgenutzt werden können, um die Roboter über Bluetooth zu hacken und heimlich Mikrofone und Kameras aus der Ferne einzuschalten.
„Ihre Sicherheit war wirklich, wirklich, wirklich, wirklich schlecht“, sagte Giese in einem Interview mit dem US-Medium TechCrunch.
Die Forscher erklärten, dass sie Ecovacs kontaktierten, um die Schwachstellen zu melden, aber nie eine Antwort von dem Unternehmen erhielten. Sie glauben, dass die Schwachstellen noch immer nicht behoben sind und von Angreifern ausgenutzt werden könnten. Ecovacs reagierte auch nicht auf Anfragen von TechCrunch für eine Stellungnahme.
Das Hauptproblem, so die Forscher, besteht darin, dass es eine Schwachstelle gibt, die es jedem ermöglicht, sich mit einem Telefon über Bluetooth mit einem Ecovacs-Roboter zu verbinden und ihn aus bis zu 130 Meter Entfernung zu übernehmen. Sobald die Angreifer die Kontrolle über das Gerät haben, können sie sich remote damit verbinden, da die Roboter selbst über WLAN mit dem Internet verbunden sind.
„Man sendet eine entsprechende Anfrage (Payload), die eine Sekunde dauert, und dann verbindet sie sich zurück zu unserer Maschine. So kann sie sich zum Beispiel mit einem Server im Internet verbinden. Und von dort aus können wir den Roboter fernsteuern“, sagte Giese. „Wir können die WLAN-Zugangsdaten auslesen, wir können alle [gespeicherten Raum-] Karten auslesen. Wir können, weil wir auf dem Betriebssystem des Roboters sitzen, auf Kameras, Mikrofone und alles andere zugreifen.“ Normalerweise – so kenne ich das – muss an den Geräten selbst bestätigt werden, wenn man Kamera und Co. nutzen möchte, sprich, man muss eine Hardware-Taste drücken.
Giese sagte im Interview, dass die Rasenmäherroboter ständig Bluetooth aktiviert haben, während die Staubsaugerroboter Bluetooth für 20 Minuten aktivieren, wenn sie eingeschaltet werden, und einmal täglich bei ihrem automatischen Neustart, was sie etwas schwieriger zu hacken macht.
Da die meisten neueren Ecovacs-Roboter mit mindestens einer Kamera und einem Mikrofon ausgestattet sind, können die Roboter, sobald die Angreifer die Kontrolle über einen kompromittierten Roboter haben, in Spione verwandelt werden. Laut den Forschern haben die Roboter keine Hardware-Leuchte oder andere Indikatoren, die Personen in der Nähe darauf hinweisen, dass ihre Kameras und Mikrofone eingeschaltet sind.
Doch es soll noch mehr Probleme mit Ecovacs-Produkten geben. Die auf den Robotern gespeicherten Daten verbleiben auf den Cloud-Servern von Ecovacs, selbst nachdem das Benutzerkonto gelöscht wurde; auch der Authentifizierungstoken bleibt in der Cloud, wodurch jemand auf einen Staubsaugerroboter zugreifen kann, nachdem das Konto gelöscht wurde, und möglicherweise die Person ausspionieren kann, die den Roboter gebraucht gekauft hat.
Untersucht wurden folgende Modelle: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Airbot Z1, Ecovacs Airbot AVA und der Ecovacs Airbot ANDY. Viele Produkte sind auch in Deutschland sehr beliebt.
- roborock DuoRoller-Bürste Saug- und Wischroboter mit extremre Saugkraft von 5500 Pa. Die doppelten...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Nicht schlecht. Man stelle sich vor die anderen sind einfach noch schlimmer, aber es hat nur noch niemand gefunden was da schief läuft. Leider brauchen wir solche Spezialisten, aber Strafen bzw. Haftung für die Hersteller wäre noch notwendig um gegen Gammelsoftware was zu machen.