Ferngesteuerte Neugierde in der Wohnung: Informatiker der TU Darmstadt decken kritische Software-Schwachstelle in Saugrobotern auf
Staubsauger-Roboter gibt es mittlerweile in vielen Haushalten. Sie verrichten ihre Arbeit und sammeln dabei etwa mit ihrer Kamera oder mit Sensoren Daten über die Wohnung. Sie erstellen beispielsweise einen Grundriss, um sich autonom durch die Wohnung zu bewegen. Sensoren und Konnektivität, gepaart mit schlechten oder oft sogar fehlenden Sicherheitsvorkehrungen, verleihen diesen Geräten eine große Angriffsfläche.
In der Vergangenheit fanden Sicherheitsforscher der TU Darmstadt bereits Schwachstellen bei diversen Modellen verschiedener Hersteller. Jetzt wurden weitere Modelle getestet. In einer Veröffentlichung vom 31.05.2019 macht die TU Darmstadt insbesondere auf ein weit verbreitetes Modell im unteren Preissegment aufmerksam, das über den Online-Handel vertrieben wird. In der Veröffentlichung liest sich das so:
„Die von den Forschern aufgedeckte Sicherheitslücke erlaubt einem Angreifer, aus der Ferne und überall auf der Welt alle […] Saug- und Wischroboter anzusteuern und deren Status und den Grundriss der Wohnung abzurufen. Dazu muss vom Staubsauger-Roboter nichts weiter bekannt sein als die sogenannte MAC-Adresse, eine lange Zahlenfolge, über die man ein elektronisches Gerät eindeutig identifizieren kann. Die MAC-Adresse ist kein Sicherheitsmerkmal und kann vom Angreifer mithilfe bestimmter Techniken leicht herausgefunden werden… Ein weiteres Sicherheitsproblem entsteht durch die Handhabung der Zertifikate durch den Hersteller… Die TU-Forscher haben den Gerätehersteller mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen – eine Antwort steht noch aus.“