Ecovacs: Zahlreiche Produkte sind unsicher
von caschy | 17 Kommentare
Angreifer können die Kontrolle über Staubsauger- und Rasenmäherroboter von Ecovacs übernehmen, um ihre Besitzer mithilfe der Kameras und Mikrofone der Geräte auszuspionieren, wie neue Forschungen ergeben haben.
Die Sicherheitsforscher Dennis Giese und Braelynn hatten auf der Def-Con-Konferenz über ihre Untersuchungen zu Ecovacs-Robotern gesprochen. Bei der Analyse mehrerer Ecovacs-Produkte entdeckten die beiden Forscher eine Reihe von Schwachstellen, die ausgenutzt werden können, um die Roboter über Bluetooth zu hacken und heimlich Mikrofone und Kameras aus der Ferne einzuschalten.
„Ihre Sicherheit war wirklich, wirklich, wirklich, wirklich schlecht“, sagte Giese in einem Interview mit dem US-Medium TechCrunch.
Die Forscher erklärten, dass sie Ecovacs kontaktierten, um die Schwachstellen zu melden, aber nie eine Antwort von dem Unternehmen erhielten. Sie glauben, dass die Schwachstellen noch immer nicht behoben sind und von Angreifern ausgenutzt werden könnten. Ecovacs reagierte auch nicht auf Anfragen von TechCrunch für eine Stellungnahme.
Das Hauptproblem, so die Forscher, besteht darin, dass es eine Schwachstelle gibt, die es jedem ermöglicht, sich mit einem Telefon über Bluetooth mit einem Ecovacs-Roboter zu verbinden und ihn aus bis zu 130 Meter Entfernung zu übernehmen. Sobald die Angreifer die Kontrolle über das Gerät haben, können sie sich remote damit verbinden, da die Roboter selbst über WLAN mit dem Internet verbunden sind.
„Man sendet eine entsprechende Anfrage (Payload), die eine Sekunde dauert, und dann verbindet sie sich zurück zu unserer Maschine. So kann sie sich zum Beispiel mit einem Server im Internet verbinden. Und von dort aus können wir den Roboter fernsteuern“, sagte Giese. „Wir können die WLAN-Zugangsdaten auslesen, wir können alle [gespeicherten Raum-] Karten auslesen. Wir können, weil wir auf dem Betriebssystem des Roboters sitzen, auf Kameras, Mikrofone und alles andere zugreifen.“ Normalerweise – so kenne ich das – muss an den Geräten selbst bestätigt werden, wenn man Kamera und Co. nutzen möchte, sprich, man muss eine Hardware-Taste drücken.
Giese sagte im Interview, dass die Rasenmäherroboter ständig Bluetooth aktiviert haben, während die Staubsaugerroboter Bluetooth für 20 Minuten aktivieren, wenn sie eingeschaltet werden, und einmal täglich bei ihrem automatischen Neustart, was sie etwas schwieriger zu hacken macht.
Da die meisten neueren Ecovacs-Roboter mit mindestens einer Kamera und einem Mikrofon ausgestattet sind, können die Roboter, sobald die Angreifer die Kontrolle über einen kompromittierten Roboter haben, in Spione verwandelt werden. Laut den Forschern haben die Roboter keine Hardware-Leuchte oder andere Indikatoren, die Personen in der Nähe darauf hinweisen, dass ihre Kameras und Mikrofone eingeschaltet sind.
Doch es soll noch mehr Probleme mit Ecovacs-Produkten geben. Die auf den Robotern gespeicherten Daten verbleiben auf den Cloud-Servern von Ecovacs, selbst nachdem das Benutzerkonto gelöscht wurde; auch der Authentifizierungstoken bleibt in der Cloud, wodurch jemand auf einen Staubsaugerroboter zugreifen kann, nachdem das Konto gelöscht wurde, und möglicherweise die Person ausspionieren kann, die den Roboter gebraucht gekauft hat.
Untersucht wurden folgende Modelle: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Airbot Z1, Ecovacs Airbot AVA und der Ecovacs Airbot ANDY. Viele Produkte sind auch in Deutschland sehr beliebt.
- roborock DuoRoller-Bürste Saug- und Wischroboter mit extremre Saugkraft von 5500 Pa. Die doppelten...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Nicht schlecht. Man stelle sich vor die anderen sind einfach noch schlimmer, aber es hat nur noch niemand gefunden was da schief läuft. Leider brauchen wir solche Spezialisten, aber Strafen bzw. Haftung für die Hersteller wäre noch notwendig um gegen Gammelsoftware was zu machen.
Würde nie einen Saugroboter der nicht Valetudo fähig ist kaufen. Auch andere Geräte im Haushalt gehören nicht in die Cloud. Leider ist die Masse aber zu faul sich mit Technik auseinander zusetzen und die Apps der Hersteller sind doch so schön bunt.
3,2,1 Kommentar incoming: Hast Du kein Mobiltelefon?
Ich verstehe eh nicht warum die EU hier nicht tätig wird. Die Abschaltung der Cloud bedeutet dass das Zeug zum Elektromüll wird!
Es muss einfach möglich werden, jegliches Gerät lokal betreiben zu können.
Und wenn man kein Bock hat sich damit auseinander zu setzen muss man entweder das ganze sein lassen, oder jemanden beauftragen der es für einen macht.
Das Ziel vieler Unternehmen ist nicht etwa etwas vernünftiges auf die Beine zu stellen sondern etwas auf die Beine zu stellen was sich mit möglichst guter Marge gut verkaufen lässt. Alles was man nicht direkt auf die Packung/das Prospekt schreiben kann ist dann eben erstmal unnötiger Aufwand.
ändert zwar bichts an der Tatsache das es mist ist, steht aber normalerweise irgendwo klein drauf das Internet erforderlich ist.
Einen Robosauger kannst ja rein lokal verwenden, wenn der noch n hardware Button zum starten hat. Halt ohne gespeicherte grundrisse und so.
Aber mir geht dieser cloud-zwang auch total auf n Keks.
Würde das ja irgendwo verstehen wenn der Roboter die Grundrisse und co. aus der Cloud streamen müsste um zu arbeiten. Aber wenn er die jedesmal erst vollständig herunter lädt und dann beginnt Bedeutet es ja das es keinen technischen grund gibt die nicht direkt auf dem Sauger zu Speichern. Hatte es auch schon ein paar mal der der Server nicht erreichbar, was dann natürlich das selbe Ergebniss ist.
Und ganz deiner meinung das hier mal der Gesetzgeber eingreifen soll.
Hat auch was mit Barrierefreiheit zu tun den Roboter immer über App bedienen zu können weil sich nicht jeder runter beugen kann.
Den Ansatz „gehört nicht in die Cloud“ kann man ja verfolgen, das führt m.E. aber zu der Frage: Was gehört denn in die Cloud? Wo zieht man da die Grenze? Da wird dann immer gerne mal argumentiert, dass wichtige Daten schon mal nicht online abgelegt werden. Aber was bleibt dann noch? Ich jedenfalls habe keine (für mich) unwichtigen Daten. Auf die Nutzung der Cloud verzichten möchte ich aber auch nicht, da überwiegen für mich die Vorteile bei weitem Aber natürlich kann man das auch anders sehen.
Letzten endes müsste jedes IOT gerät das mit einer cloud-lösung läuft auch lokal voll funktionsfähig sein, damit der user selber entscheiden kann was online ist und was nicht.
Das würde auf die masse gesehen auch imens traffic sparen.
Angriff der Rasenmäherroboter ……
Warum online FPS Shooter spielen, wenn man mit Nachbars Mähroboter Katzen jagen kann. Oder Babys.
Der Ecovacs hängt bei mir im Gast / Vlan ohne Zugriff auf irgendwas und kann nur Nachts für kurze Zeit eine Internetverbindung herstellen um sich event. Updates zu ziehen. Alle IOT Geräte sind bei mir in einem separaten Netz, also keine Panik.
Und wenn es Probleme gibt wechselst du einfach ins gastlan um die stausmeldung zu sehen? Auch ne idee.
Arbeitet der dan auch nur nachts?
Der Roboter benötigt zum Arbeiten kein Wifi. Nur wenn man an der Konfiguration was ändern will. Für seine Mäharbeiten hat das keine Bedeutung, das wird über Navigationsbeacons gemacht.
Ach du sprichst von Rasenmähern. Klar das die nach der Konfiguration kein Wifi mehr brauchen.
Ich war bei Saugern und die müssen unverständlicher weise vor jedem Sauggang grundriss und No-Go-linien aus der cloud laden.
Ich habe weder das eine noch das andere, aber auch ein Rasenmäher muss doch „wissen“, wo bzw. bis wohin er mähen soll. Und wenn der Rasenmäher seinen Job machen kann, ohne Grenzlinien o.ä. aus der Cloud zu laden, sollte das doch bei einem Staubsauger ebenso möglich sein.
Ja, Navigationsbeacons und GPS. Ist halt vermutlich bei einem Saugroboter nicht so ideal, vor Allem will man keine Beacons in der Wohnung rumstehen haben. GPS Empfang ist im Wohnzimmer vermutlich auch nicht immer gewährleistet.
Die Aussage „bis zu 130m per Bluetooth“ dürfte schonmal völliger Blödsinn sein. In der Regel sind per BT rund 10m möglich. Der Ecovacs Goat G1 hat ein so mieses BT, dass man bereits bei 3m Verbindungsabbrüche hat. Die App von Ecovacs ist leider echt Schrott. Beim Goat funktioniert das Kartografieren und Mähen grundsätzlich ganz gut. Leider ist die Software (App/Firmware) so schlecht, dass es an allen Ecken Probleme gibt, die relativ einfach behebbar wären, aber nicht behoben werden. Das Kartografieren scheitert oft nach langem Abfahren der Ränder ohne hilfreiche Fehlermeldung. Im Betrieb fährt der Mäher teilweise irgendwo gegen trotz Kamera und bleibt dann stehen. Oder es ist ein Hölzchen im Drehteller. Dann wird nicht etwa der Drehteller kurz in die andere Richtung gedreht, sondern der Mäher bleibt stehen und verlangt die Eingabe der PIN am Gerät, statt in der App. Ein Zurückfahren in die Ladestation ist so auch manuell per WLAN und Kamera unmöglich. Zudem zeigt die App beim wiederholten Aufruf immer den falschen Status an. Man muss sie beenden und neu starten. Daher wundern mich Sicherheitsmängel und mangelnde Kommunikation mit dem Hersteller eigentlich nicht.