Forscher entdecken kritische Software-Schwachstelle in Saugrobotern

Wieder einmal gibt es Bedenken in Bezug auf die Datensicherheit bei Staubsauger-Robotern. Deutsche IT-Experten haben Schwachstellen in der Software der Haushaltsgeräte gefunden, die weitreichenden Zugriff möglich machen. Betroffen sind Modelle der Firma Tesvor.

Mal wieder ein Saugroboter, der bereitwillig alles verrät

Sicherheitsforscher der TU Darmstadt hatten schon in der Vergangenheit immer wieder Probleme bei elektronischen Haushaltshilfen registriert, jetzt schlagen die IT-Experten abermals Alarm. Bei einem weitreichenden Test von IoT-Geräten (Internet of Things) wurden demnach erhebliche Sicherheitsmängel bei dem Modell Tesvor X500 festgestellt, die sich aber wohl auf alle Modelle des Herstellers übertragen lassen. "Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche", so die Forscher.

Die von den Forschern aufgedeckten Lücken fallen dabei sehr umfassend aus und erlauben es Angreifern, "aus der Ferne und überall auf der Welt alle Tesvor Saug- und Wischroboter anzusteuern und deren Status und den Grundriss der Wohnung abzurufen", so das Ergebnis der Untersuchung. Für diesen Angriff muss demnach über den Staubsauger-Roboter nichts weiter bekannt sein als die MAC-Adresse, die das Gerät eindeutig identifiziert. Das Herausfinden dieser Zahlenfolge stelle für technisch versierte Angreifer aber keine Hürde dar. "Der potentielle Angreifer muss nur MAC-Adressen aus dem Adressbereich des Herstellers der Reihe nach bis zum Treffer ‘durchprobieren'", so die Forscher.

Keine Sicherheitszertifikat

Damit aber nicht genug. Tesvor nutzt als Back-End für seine IoT-Geräte "Amazon Web Services Internet of Things" kurz "AWS IoT". Üblicherweise kommen für die Kommunikation zwischen Cloud und Gerät dabei Sicherheitszertifikate zum Einsatz. Bei den Geräten des Herstellers wird aber darauf verzichtet, diese Zertifikate, wie sonst üblich, bei Auslieferung mitzuliefern. Vielmehr findet bei der ersten Aktivierung ein nicht authentifizierter Zertifikatsaustausch mit AWS IoT statt. Die Folge: "Somit wird eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server "in der Mitte" abgefangen werden kann".
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:50 Uhr USB C Ladegerät, Ziwodiv 60W USB Ladegerät Mehrfach 8-Port Multi Ladestation Mehrere Geräte, USB C Netzteil with LCD Bildschirm, Schnellladegerät für iPhone 12/11/Pro/Max/Galaxy S21/TabletUSB C Ladegerät, Ziwodiv 60W USB Ladegerät Mehrfach 8-Port Multi Ladestation Mehrere Geräte, USB C Netzteil with LCD Bildschirm, Schnellladegerät für iPhone 12/11/Pro/Max/Galaxy S21/Tablet
Original Amazon-Preis
29,99
Im Preisvergleich ab
29,99
Blitzangebot-Preis
22,39
Ersparnis zu Amazon 25% oder 7,60
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!