Sicherheitslücken: Der Spion, der aus dem Staubsauger kam

Staubsaugen mag vielleicht nicht unsere Lieblingsbeschäftigung sein. Aber dass Staubsauger tatsächlich auch Böses im Schilde führen könnten – no way! Da müssen wir dich leider enttäuschen, selbst vor Haushaltsgeräten sind wir nicht mehr sicher: Forscher haben jetzt herausgefunden, dass der Dongguan Diqee Staubsaugerroboter, Modell 360, gleich über zwei Sicherheitslücken verfügt, durch die er kurzerhand in deinem Wifi-Netzwerk als Spion eingesetzt werden kann.

Superuser-Rechte & Zugriff auf gesamtes Wifi-Netzwerk

Von Kinderspielzeug, dass Klein-Tobi munter beim Spielen abhört, haben wir ja leider schon einiges gehört. Aber Staubsauger stehen den Spionage-Toys um nichts nach: Im konkreten Fall könnten Kriminelle & Co eine der beiden Sicherheitslücken des Dongguan Diqee 360 dazu nutzen, den Roboter zu verwenden und zu steuern. Damit haben die Eindringlinge Zugriff auf das ganze Netzwerk eines Zuhauses und können beispielsweise Bitcoins schürfen oder DDoS-Attacken ausführen. Was jetzt weit hergeholt klingt, ist gar nicht so schwierig zu bewerkstelligen: Laut Threatpost müssen Diebe nur irgendwie an den Standard-Usernamen und das -passwort (sofern nicht geändert) sowie die MAC-Adresse des Gerätes kommen. Und dann kann es schon losgehen! Diese erst Sicherheitslücke wird noch von einer zweiten ergänzt: Auch hier können sich die Hacker Super-User Rechte sichern. Zusätzlich haben sie aber auch die Möglichkeit, unverschlüsselte Daten – wie Fotos, Videos und E-Mails – aus dem Heim-Netzwerk zu stehlen …

Hersteller: Keine Auskunft, ob Sicherheitslücken geschlossen wurden

Was der Staubsauger-Hersteller zu diesen durchaus bedenklichen Mängeln zu sagen hat? Zuerst einmal das Naheliegende, wie Threatpost schreibt: Die Besitzer eines solchen wunderbaren Staubsaugers sollten das Passwort ändern, da „der Angriff nicht mehr effektiv ist, wenn man diese Daten ändert“. Naheliegend. Aber was ist mit den Sicherheitslücken selbst? Darüber gibt der Hersteller leider keine Auskunft … Also reine Symptombehebung durch den User, aber keine Lösung des eigentlichen Missstands? Zumal das Modell 360 nicht der einzige Spion daheim ist: Positive Technologies, welche die Lücke entdeckt haben, verweisen auf andere IoT-Geräte mit den gleichen Videomodulen. Intelligente Türschlösser sind genauso darunter wie Outdoor-Überwachungskameras – die Geräte könnten quasi deinen ganzen Haushalt in einziges Hacker-Spionageparadies verwandeln. Schöne neue Welt, kann man da nur sagen.

Es ist aber nicht so, dass nur besagte Firma Probleme mit ihrem Staubsaugerroboter hat. Auch im „SmartThinQ“ der Firma LG wurde bereits 2017 von Check Point eine Sicherheitslücke entdeckt. Diese war in der App des Roboters versteckt und erlaubte Hackern eine Manipulation, die einen Zugriff auf die Geräte nur durch die E-Mail-Adresse des Besitzers ermöglichte. Auch ganz schön schaurig, finden wir. Und dabei handelt es sich „nur“ um die aufgedeckten Fälle. Wer weiß, was in unsere smarten Zuhause noch so alles darauf lauert, uns auszuspionieren …

Quelle: Threatpost, futurezone


Erstellt am: 30. Juli 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar