Angriff der Killer-Rasenmäherroboter:
Diese lassen sich per Hack kapern
Ein deutscher Sicherheitsforscher hat eine kritische Schwachstelle in vernetzten Mährobotern der Marke Yarbo entdeckt. Angreifer können die schweren Maschinen aus der Ferne komplett steuern und auf Kameras sowie WLAN-Passwörter zugreifen.
Die Ursache für das Problem liegt in der Software-Architektur. Jeder Yarbo-Roboter nutzt eine vollständige Installation des Betriebssystems Linux, die über ein fest integriertes Root-Passwort verfügt. Makris stellte bei der Analyse fest, dass das Zugangspasswort bei sämtlichen Modellen weltweit identisch ist. Dabei haben Besitzer keine Möglichkeit, das Kennwort dauerhaft zu ändern. Das System setzt das Passwort bei jedem Firmware-Update automatisch auf den Standardwert zurück.
Wie The Verge in einem Bericht schildert, demonstrierte Makris die Folgen der Lücke an echten Geräten. Ein Angreifer kann die Steuerung übernehmen, Bilder der Kameras abgreifen und Nutzerdaten auslesen. Dazu zählen genaue GPS-Koordinaten, private E-Mail-Adressen und die WLAN-Passwörter der Besitzer. Theoretisch lassen sich die Roboter für Angriffe auf das Heimnetzwerk missbrauchen. Die genaue Anzahl betroffener Modelle wurde aber nicht genannt.
Zusätzlich zeigte die Untersuchung, dass die Maschinen ihre Telemetriedaten teilweise an den chinesischen Technologiekonzern ByteDance senden. Yarbo hat seinen Hauptsitz laut eigenen Angaben in New York, agiert jedoch primär aus dem chinesischen Shenzhen. Die Weitergabe von Nutzerdaten an Server in China geschah ohne explizite Zustimmung der Besitzer. Das erhöht das Risiko für die Privatsphäre der Nutzer weiter.
Der Fall ordnet sich in eine Reihe ähnlicher Vorfälle bei vernetzten Haushaltsgeräten ein. Viele Hersteller von IoT-Hardware priorisieren die schnelle Markteinführung vor der Implementierung grundlegender Sicherheitsstandards. Fest codierte Passwörter und unverschlüsselte Datenübertragungen gehören zu den häufigsten Fehlern. Sicherheitsforscher fordern seit Langem verbindliche Vorgaben für die Absicherung solcher Systeme.
Wie schützt ihr euer Netzwerk vor unsicheren Smart-Home-Geräten? Ist euch Software-Sicherheit beim Kauf wichtig? Teilt eure Gedanken mit uns in den Kommentaren.
Siehe auch:
Sicherheitslücke in Mährobotern
Der deutsche Sicherheitsforscher Andreas Makris hat eine weitreichende Schwachstelle in vernetzten Mährobotern des Herstellers Yarbo aufgedeckt. Durch einen Fehler im System erlangte er weltweit Zugriff auf Tausende aktive Geräte. Die rund 90 Kilogramm schweren und 5000 US-Dollar (etwa 4253 Euro) teuren Maschinen lassen sich dadurch aus der Ferne komplett steuern. Das betrifft die Navigation und auch die rotierenden Klingen der Geräte.Die Ursache für das Problem liegt in der Software-Architektur. Jeder Yarbo-Roboter nutzt eine vollständige Installation des Betriebssystems Linux, die über ein fest integriertes Root-Passwort verfügt. Makris stellte bei der Analyse fest, dass das Zugangspasswort bei sämtlichen Modellen weltweit identisch ist. Dabei haben Besitzer keine Möglichkeit, das Kennwort dauerhaft zu ändern. Das System setzt das Passwort bei jedem Firmware-Update automatisch auf den Standardwert zurück.
Wie The Verge in einem Bericht schildert, demonstrierte Makris die Folgen der Lücke an echten Geräten. Ein Angreifer kann die Steuerung übernehmen, Bilder der Kameras abgreifen und Nutzerdaten auslesen. Dazu zählen genaue GPS-Koordinaten, private E-Mail-Adressen und die WLAN-Passwörter der Besitzer. Theoretisch lassen sich die Roboter für Angriffe auf das Heimnetzwerk missbrauchen. Die genaue Anzahl betroffener Modelle wurde aber nicht genannt.
Hersteller verspricht Besserung
Zunächst deklarierte Yarbo den uneingeschränkten Fernzugriff als bewusst integrierte Funktion für die technische Ferndiagnose. Nach öffentlichem Druck kündigte das Unternehmen an, die Kommunikation zwischen der Smartphone-App und den eigenen Servern besser abzusichern. Die tieferliegenden Schwachstellen direkt in der Geräte-Firmware bleiben jedoch vorerst bestehen. Ein vollständiges Sicherheitsupdate steht noch aus, weshalb die Geräte weiterhin angreifbar sind.Zusätzlich zeigte die Untersuchung, dass die Maschinen ihre Telemetriedaten teilweise an den chinesischen Technologiekonzern ByteDance senden. Yarbo hat seinen Hauptsitz laut eigenen Angaben in New York, agiert jedoch primär aus dem chinesischen Shenzhen. Die Weitergabe von Nutzerdaten an Server in China geschah ohne explizite Zustimmung der Besitzer. Das erhöht das Risiko für die Privatsphäre der Nutzer weiter.
Der Fall ordnet sich in eine Reihe ähnlicher Vorfälle bei vernetzten Haushaltsgeräten ein. Viele Hersteller von IoT-Hardware priorisieren die schnelle Markteinführung vor der Implementierung grundlegender Sicherheitsstandards. Fest codierte Passwörter und unverschlüsselte Datenübertragungen gehören zu den häufigsten Fehlern. Sicherheitsforscher fordern seit Langem verbindliche Vorgaben für die Absicherung solcher Systeme.
Wie schützt ihr euer Netzwerk vor unsicheren Smart-Home-Geräten? Ist euch Software-Sicherheit beim Kauf wichtig? Teilt eure Gedanken mit uns in den Kommentaren.
Zusammenfassung
- Sicherheitsforscher entdeckte kritische Lücke in Mährobotern von Yarbo
- Angreifer könnten die 90-Kilo-Maschinen aus der Ferne komplett steuern
- Root-Passwort bei allen Geräten weltweit identisch und nicht änderbar
- Firmware-Updates setzen Passwort automatisch auf Standardwert zurück
- Kamerabilder, GPS-Daten und WLAN-Passwörter ließen sich abgreifen
- Telemetriedaten werden ohne Zustimmung an ByteDance in China gesendet
- Yarbo kündigte Verbesserungen an, vollständiges Update steht noch aus
Siehe auch:
- Bug in Management-Software: Schon 40.000 Server gehackt
- Unhackbar: Forschern gelingt riesiger Durchbruch bei Quanteninternet
- Internetzensur im Iran: Aktivisten umgehen Sperren mit cleverem Hack
- Cloud-Firma gehackt: KI-Tool mit Zugriff auf Google-Konto öffnet die Tür
- Daten aus Rockstar-Hack enthüllen aberwitzige GTA-Online-Einnahmen
Thema:
Videos zum Thema Smart Home
-
Mova V50 Ultra Complete: Reinigungs-Roboter mit sehr viel Zubehör
-
Super Bowl 2026: Chris Hemsworth denkt, dass Alexa+ ihn töten will
-
Ecovacs GOAT A1600 RTK: Mähroboter für große Gärten im Test
-
Tado X: Smartes Heizungsthermostat mit mehr Features im Test
-
Govee: Smarte Festbeleuchtung für Garten und Wohnzimmer im Test
-
Dark Matter: Apple zeigt den offiziellen Trailer zur neuen Sci-Fi-Serie
-
Tado Smart Radiator: Thermostate für die clevere Heizungssteuerung
-
Inio One: Smarte Tageslicht-Lampe für das Home-Office
-
Amazon Fire Max 11 im Test: Das bisher schnellste Tablet von Amazon
-
Amazon Fire Max 11: Erste Eindrücke zu Amazons stärkstem Tablet
Amazon Echo Dot im Preisvergleich
Vmselect 
Alza.de 
Electronis.de 
Jacob Elektronik direkt 
Future-X.de Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
- James-Webb-Teleskop entdeckt Metallsalz-Wolken auf pinkem Exoplanet
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen