Moderne Saugroboter sind mit einer Vielzahl an Sensoren, Kameras und Mikrofonen ausgestattet. Was für den Betrieb eine große Verbesserung darstellt, kann in den falschen Händen ein beträchtliches Risiko sein. Genau dieser Fall ist nun bei mehreren Ecovacs-Modellen eingetreten.
Saugroboter: Ecovacs-Geräte offenbaren riesige Sicherheitslücken
Das chinesische Unternehmen Ecovacs ist besonders für seine DEEBOT-Saugroboter-Reihe bekannt. Doch auf einer Sicherheitskonferenz haben zwei Sicherheitsexperten nun eine gravierende Sicherheitslücke in der Software des Herstellers offenbart, welche es Hackern in nur wenigen Sekunden ermöglicht, auf eine Vielzahl an Daten zuzugreifen.
Dennis Giese und Braelynn analysierten mehrere Ecovacs-Saugroboter, um die Fehler im System aufzudecken. „Ihre Sicherheit war sehr, sehr, sehr, sehr schlecht“, verrät Giese in einem Interview mit dem Technik-Portal TechCrunch. Das nötige Vorgehen, um an empfindliche Daten zu gelangen, ist dabei vergleichsweise einfach:
„Man sendet den Payload, der eine Sekunde braucht und dann verbindet es sich wieder mit unserem Gerät. Von dort aus kann man sich wieder mit einem Server im Internet verbinden. Ab dann können wir den Saugroboter kontrollieren. Wir können die WLAN-Daten und alle Karten auslesen. Wir können all dies, weil wir am Linux-Betriebssystem des Roboters sitzen. Wir haben Zugriff auf Kameras, Mikrofone, was auch immer“.
Dennis Giese im TechCrunch-Interview
Lesetipp: Bleibt dein Saugroboter stehen? Dafür kann es eine ganze Reihe an Ursachen geben. Wir zeigen dir die fünf häufigsten und wie du sie lösen kannst.
Zugriff ist von außen nicht festzustellen
Nach eigenen Angaben, berichteten beide Sicherheitsexperten die Sicherheitslücken direkt an Ecovacs, haben jedoch nie eine Rückmeldung erhalten. Sind sich weiterhin sicher, dass diese Softwarefehler immer noch nicht behoben wurden und daher von Kriminellen bis heute ausgenutzt werden könnten. Von einem Kauf ist daher aktuell abzusehen, bis ein entsprechendes Update veröffentlicht wird.
Für betroffene Nutzer und Nutzerinnen eines Ecovacs-Saugroboters ist der Zugriff dabei nicht festzustellen, da es beispielsweise keine LED-Anzeige für eine aktivierte Kamera gibt. Eine Ansage, welche die Kameranutzung ankündigt, kann außen einfach deaktiviert werden, sodass auch hier keine Alarmzeichen vorhanden sind.
Folgende Geräte wurden von Giese und Braelynn analysiert und sind definitiv betroffen:
- Ecovacs Deebot 900-Reihe
- Ecovacs Deebot N8 und T8
- Ecovacs Deebot N9 und T9
- Ecovacs Deebot N10 und T10
- Ecovacs Deebot X1
- Ecovacs Deebot T20
- Ecovacs Deebot X2
- Ecovacs Goat G1
- Ecovacs Spybot Airbot Z1
- Ecovacs Airbot AVA
- Ecovacs Airbot ANDY
Besitzer*innen der günstigeren 500er- und U2-Serien können hingegen aufatmen. Da diese Saugroboter über keine Kamera und auch keine Mikrofone verfügen, ist ein Zugriff auf empfindliche Daten unwahrscheinlich. Ob diese dennoch von der Sicherheitslücke betroffen sind, lässt der Bericht offen.
Quelle: TechCrunch
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.