Tesvor X500 Darmstädter Forscher warnen vor schlecht geschütztem Staubsaugroboter

Von wegen saubere Arbeit: Ein Forscherteam hat Schwachstellen bei einem günstigen Staubsaugroboter entdeckt. Wer sie ausnutzt, kann offenbar unter anderem an Grundrisse von Wohnungen gelangen.
Werbebild zum Tesvor X500

Werbebild zum Tesvor X500

Foto: Tesvor

Darüber, ob Staubsaugroboter ihr Geld wert sind, lässt sich lange streiten. Klar ist dagegen: Wer sich ein solches Gerät in seine Wohnung holt, sollte darauf achten, dass dessen Hersteller sich nicht nur mit Saugtechnik, sondern auch mit IT-Sicherheit auskennt.

Wie schlecht gesichert mancher Roboter offenbar ist, haben Forscher der TU Darmstadt herausgefunden . Ein Team aus dem Fachbereich Informatik entdeckte Probleme in der Software von Robotern, die einen Zugriff durch Dritte möglich machen - prinzipiell von überall auf der Welt. Den Forschern zufolge lassen sich aus der Ferne die Statusangaben der Geräte abrufen, genau wie Wohnungsgrundrisse, die sie erstellt haben.

Konkret geht es um ein Modell mit dem Namen Tesvor X500, das im Netz für rund 200 Euro verkauft wird . Um diesen Typ Roboter ansteuern zu können, müsse lediglich die MAC-Adresse eines Staubsaugers bekannt sein - eine lange Zahlenfolge, über die man ein elektronisches Gerät eindeutig identifizieren kann. "Die MAC-Adresse ist kein Sicherheitsmerkmal und kann vom Angreifer mithilfe bestimmter Techniken leicht herausgefunden werden", heißt es in einer Pressemitteilung zum Projekt. Die App, mit der der Staubsauger gesteuert wird, nutze als Authentifikation für die Steuerungsberechtigung trotzdem nur die MAC-Adresse.

Die Forscher kritisieren außerdem den Umgang Tesvors mit digitalen Zertifikaten: Der sei eher unüblich und mache sogenannte Man-in-the-Middle-Attacken auf die Geräte möglich, heißt es. Bei diesen Angriffen könne ein Zertifikat von einem Mithörer zwischen Roboter und Server quasi "in der Mitte" abgefangen werden. "Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben", wird gewarnt. "Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben."

Gelöst wurden die Probleme bislang offenbar nicht. Die TU-Forscher hätten den Gerätehersteller mehrfach schriftlich "auf die gravierenden Sicherheitsprobleme hingewiesen", heißt es in der Pressemitteilung. Eine Antwort stehe noch aus.

mbö