Tesvor X500 Darmstädter Forscher warnen vor schlecht geschütztem Staubsaugroboter

Von wegen saubere Arbeit: Ein Forscherteam hat Schwachstellen bei einem günstigen Staubsaugroboter entdeckt. Wer sie ausnutzt, kann offenbar unter anderem an Grundrisse von Wohnungen gelangen.

Werbebild zum Tesvor X500
Tesvor

Werbebild zum Tesvor X500


Darüber, ob Staubsaugroboter ihr Geld wert sind, lässt sich lange streiten. Klar ist dagegen: Wer sich ein solches Gerät in seine Wohnung holt, sollte darauf achten, dass dessen Hersteller sich nicht nur mit Saugtechnik, sondern auch mit IT-Sicherheit auskennt.

Wie schlecht gesichert mancher Roboter offenbar ist, haben Forscher der TU Darmstadt herausgefunden. Ein Team aus dem Fachbereich Informatik entdeckte Probleme in der Software von Robotern, die einen Zugriff durch Dritte möglich machen - prinzipiell von überall auf der Welt. Den Forschern zufolge lassen sich aus der Ferne die Statusangaben der Geräte abrufen, genau wie Wohnungsgrundrisse, die sie erstellt haben.

Konkret geht es um ein Modell mit dem Namen Tesvor X500, das im Netz für rund 200 Euro verkauft wird. Um diesen Typ Roboter ansteuern zu können, müsse lediglich die MAC-Adresse eines Staubsaugers bekannt sein - eine lange Zahlenfolge, über die man ein elektronisches Gerät eindeutig identifizieren kann. "Die MAC-Adresse ist kein Sicherheitsmerkmal und kann vom Angreifer mithilfe bestimmter Techniken leicht herausgefunden werden", heißt es in einer Pressemitteilung zum Projekt. Die App, mit der der Staubsauger gesteuert wird, nutze als Authentifikation für die Steuerungsberechtigung trotzdem nur die MAC-Adresse.

Die Forscher kritisieren außerdem den Umgang Tesvors mit digitalen Zertifikaten: Der sei eher unüblich und mache sogenannte Man-in-the-Middle-Attacken auf die Geräte möglich, heißt es. Bei diesen Angriffen könne ein Zertifikat von einem Mithörer zwischen Roboter und Server quasi "in der Mitte" abgefangen werden. "Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben", wird gewarnt. "Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben."

Gelöst wurden die Probleme bislang offenbar nicht. Die TU-Forscher hätten den Gerätehersteller mehrfach schriftlich "auf die gravierenden Sicherheitsprobleme hingewiesen", heißt es in der Pressemitteilung. Eine Antwort stehe noch aus.

mbö



insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
shardan 31.05.2019
1. Nicht neu
Solche Lücken gab es bei Saugrobotern schon mal - und vermutlich immer noch. Aber die Kunden -Wir! - kaufen ja nichts mehr, wo nicht die magischen Buzzwords "App" und "Cloud" draufstehen. Solche Saugbots, aber auch viele netzwerkfähige Webcams und ähnliches Billigzeug aus Fernost-Produktion ist in den allermeisten Fällen alles mögliche - mit Sicherheit aber unsicher. Spricht man Nutzer darauf an, erntet man Unverständnis. "Wieso, funktioniert doch" ist eine Standardantwort. Die Verbraucher sind viel zu unkritisch gegenüber all den Gerätschaften. Nie vergessen: Das "S" in "IoT" steht für sicher.
Heinz.null.eins 31.05.2019
2. @shardan: Stimmt zu 100%,
es interessiert halt nur keinen... Hauptsache mit iPhone cool rüberkommen, Ahnung von der Materie wird vollkommen überbewertet.
spon_5112961 31.05.2019
3. Ach was, hauptsache
der Name klingt! Tesvor X500...R2D2 lässt grüßen! Hal 9000 lacht sich schlapp :()
NewYork76 31.05.2019
4. Gaehn....
Gehts noch ne Nummer groesser?!? Im Klartext kann also der boese Hacker mit relativ grossen Aufwand einen Grundriss von irgendeiner Wohnung irgendwo auf der Welt bekommen. Er weiss zwar nicht welche Wohnung wo und wer dort wohnt, aber er kann den Staubsauger dort ein- und ausschalten! Mir wuerde jetzt beim besten Willen nicht einfallen welches Interesse ein Hacker daran haben sollte. Aber hauptsaechlich mal wieder gegen vernetzte Haushaltsgeraete geschimpft. DIe Deutschen entwickelt sich langsam zu den Amish von Europa. Ich kann verstehen, dass sich der Hersteller bisher nicht dazu geaeussert hat...
Heinz.null.eins 31.05.2019
5. Hast ja recht, New York,
macht gar nix, wenn sie in Deinem Heimnetz sind, und Dir dann 10 Steigen Joghurt über Deinen IoT-Kühlschrank bestellen, und die Heizung ausschalten, während Du cool im Skiurlaub bist. Und denk nicht, dass Du entsprechende Benachrichtigungen auf Deinem Handy erhälst, die laufen dann längst woanders hin. Und was diejenihen davon haben, die das anrichten?: Gar nichts. Außer Spaß und nen Befähigungsnachweis für richtige Aufgaben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.