Forscher entdecken kritische Software-Schwachstelle in Saugrobotern

Wieder einmal gibt es Bedenken in Bezug auf die Datensicherheit bei Staubsauger-Robotern. Deutsche IT-Experten haben Schwachstellen in der Software der Haushaltsgeräte gefunden, die weitreichenden Zugriff möglich machen. Betroffen sind Modelle der Firma Tesvor.

Mal wieder ein Saugroboter, der bereitwillig alles verrät

Sicherheitsforscher der TU Darmstadt hatten schon in der Vergangenheit immer wieder Probleme bei elektronischen Haushaltshilfen registriert, jetzt schlagen die IT-Experten abermals Alarm. Bei einem weitreichenden Test von IoT-Geräten (Internet of Things) wurden demnach erhebliche Sicherheitsmängel bei dem Modell Tesvor X500 festgestellt, die sich aber wohl auf alle Modelle des Herstellers übertragen lassen. "Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche", so die Forscher.

Die von den Forschern aufgedeckten Lücken fallen dabei sehr umfassend aus und erlauben es Angreifern, "aus der Ferne und überall auf der Welt alle Tesvor Saug- und Wischroboter anzusteuern und deren Status und den Grundriss der Wohnung abzurufen", so das Ergebnis der Untersuchung. Für diesen Angriff muss demnach über den Staubsauger-Roboter nichts weiter bekannt sein als die MAC-Adresse, die das Gerät eindeutig identifiziert. Das Herausfinden dieser Zahlenfolge stelle für technisch versierte Angreifer aber keine Hürde dar. "Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum Treffer ‘durchprobieren'", so die Forscher.

Keine Sicherheitszertifikat

Damit aber nicht genug. Tesvor nutzt als Back-End für seine IoT-Geräte "Amazon Web Services Internet of Things" kurz "AWS IoT". Üblicherweise kommen für die Kommunikation zwischen Cloud und Gerät dabei Sicherheitszertifikate zum Einsatz. Bei den Geräten des Herstellers wird aber darauf verzichtet, diese Zertifikate, wie sonst üblich, bei Auslieferung mitzuliefern. Vielmehr findet bei der ersten Aktivierung ein nicht authentifizierter Zertifikatsaustausch mit AWS IoT statt. Die Folge: "Somit wird eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server "in der Mitte" abgefangen werden kann". Untersuchung, Saugroboter, Tesvor Untersuchung, Saugroboter, Tesvor Markus Miettinen, System Security Lab
Mehr zum Thema: Roboter
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:04 Uhr Nimaso USB C auf USB C Kabel 3M,USB Typ C 100W 20V/5A PD Schnellladekabel mit E-Mark Chip Ladekabel und Datenkabel für MacBook,MacBook Pro,iPad Pro 2021,MacBook Air,ChromeBook Pixel, Galaxy S8/S8+Nimaso USB C auf USB C Kabel 3M,USB Typ C 100W 20V/5A PD Schnellladekabel mit E-Mark Chip Ladekabel und Datenkabel für MacBook,MacBook Pro,iPad Pro 2021,MacBook Air,ChromeBook Pixel, Galaxy S8/S8+
Original Amazon-Preis
6,99
Im Preisvergleich ab
?
Blitzangebot-Preis
5,94
Ersparnis zu Amazon 15% oder 1,05

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!