Saug-, Wisch- und Mähroboter sind in immer mehr Haushalten zu finden. Je nach Modell werden unterschiedliche Methoden verwendet, um sich in den Räumlichkeiten oder im Garten zurechtzufinden. Viele Modelle des chinesischen Herstellers Ecovacs benutzen eine Kombination aus Kameras und KI, um die Orientierung nicht zu verlieren. Zusätzlich ermöglichen Mikrofone die Sprachsteuerung der hilfreichen Geräte. Diese Ausstattung macht die Besitzerinnen und Besitzer allerdings auch angreifbar, wie ein deutscher IT-Spezialist nun warnt.
Deutscher IT-Experte deckt Schwachstellen auf
Der unabhängige Sicherheitsforscher Dennis Giese hatte bereits im August 2024 auf der IT-Konferenz Def Con in Las Vegas (US-Bundesstaat Nevada) vor
einer Reihe von Schwachstellen in der Ecovacs-Software gewarnt. Cyberkriminelle könnten sie ausnutzen, um direkten Zugriff auf eine Vielzahl von Funktionen der Roboter zu erlangen, unter anderem die Kameras und Mikrofone. Und das allem Anschein nach auf Distanz, ohne direkten Kontakt zu den Geräten. Die
australische Nachrichtenplattform ABC hat nun in Zusammenarbeit mit Giese die Angreifbarkeit der Geräte erneut getestet und ihre Funde in einem Beitrag dokumentiert. Dafür hat er eine Malware geschrieben, mit der es dem ABC-Redakteur Julian Fell aus einem angrenzenden Park gelungen ist, den Ecovacs Deebot X2 im vierten Stock eines Bürogebäudes zu hacken. Dafür verwendete der Journalist keinen Computer, sondern konnte die Schadsoftware von seinem Smartphone ausführen. Der Zugriff auf das Gerät erlaubte nicht nur die unbemerkte Steuerung der Kameras und Mikrofone, sondern auch den Zugriff auf den Speicher des Geräts, Logs und die Zugangsdaten zu dem verbundenen Netzwerk.
Geheime Video- und Tonaufnahmen möglich
Besonders perfide: Leuchten und Signale, die Bewohner eigentlich über eine laufende Aufnahme informieren sollen, konnten von Fell ausgeschaltet werden. Video- und Tonaufnahmen könnten sich so komplett unbemerkt durchführen lassen. Fell war allerdings nicht der Einzige, der Einblick in das Büro erhalten hat. Über die Malware konnte Sicherheitsforscher Giese von seiner Wohnung in Berlin aus zeitgleich zuschauen, was sich in dem australischen Büro ereignete. Der Traffic wurde dafür über einen Server in den USA gestreamt. Für Konsumenten könnte ein kompromittierter Saugroboter so kaum für Aufmerksamkeit sorgen, wenn er nur weiterhin seinen Dienst erfüllt, während Dritte im Hintergrund die Räumlichkeiten ausspionieren.
Ecovacs reagiert und liefert Updates aus
Das Abrufen von Bild- und Tondaten ist Teil des Funktionsumfangs der Roboter. Ecovacs verwendet sie gemäß der Datenschutzrichtlinie für Forschungs- und Entwicklungszwecke und speichert sie auf Unternehmensservern, wie das
Online-Magazin Notebookcheck berichtet. Doch während die Besitzerinnen und Besitzer diese Richtlinien zumindest gelesen und der Verwendung zugestimmt haben sollten, bergen die Schwachstellen einige Risiken. Angesichts dessen hat Dennis Giese nach Angaben von ABC im Dezember 2023 Ecovacs umgehend von seinen Funden informiert. Doch erst als er die Schwachstellen auf der Konferenz öffentlich gemacht hat, habe der Hersteller reagiert. Mittlerweile rollt Ecovacs Updates aus, die die Sicherheitslücken stopfen, doch wie die Nachrichtenplattform weiter berichtet, geht es damit nur schleppend voran. So soll etwa das für den Beitrag gehackte Modell erst im November 2024 einen Patch bekommen.
Gehackter Roboter mit europäischem Prüfsiegel
Der Bericht wirft weitere Fragen auf, die nicht den Hersteller, sondern den TÜV Rheinland betreffen. Schließlich wurde das gehackte Modell dort nach der europäischen
Norm ETSI EN 303 645 getestet und hat das Prüfsiegel erhalten. Grob vereinfacht handelt es sich dabei um EU-Norm, die für eine grundlegende Sicherheit von Internet-of-Things-Geräten und Transparenz für Verbraucher sorgen soll. Wie das Bundesministerium für Sicherheit in der Informationstechnik (BSI) schreibt, sei das Ziel,
persönliche Daten und die Privatsphäre von Nutzerinnen und Nutzern vor Cyber-Angriffen zu schützen. Auf Rückfrage durch ABC hat ein Sprecher des TÜV Rheinland der Plattform mitgeteilt, dass die gefundenen Schwachstellen dem professionellen Hacking zuzuordnen seien und dementsprechend im Rahmen des Tests nicht untersucht wurden. Fell unterstreicht jedoch, dass es Giese gelungen sei, die Schwachstellen in seiner Freizeit aufzudecken.
