Smart Home: Wenn uns der Staubsauger ausspioniert

Inhaltsverzeichnis

Die EU-Kommission berät derzeit darüber, ob Amazon den Staubsaugerroboter-Hersteller iRobot übernehmen darf. Im Novemver 2023 hatte die Brüsseler Behörde eine Reihe von Einsprüchen veröffentlicht, da man in dem Kauf eine Gefahr für den Wettbewerb sieht. Inzwischen ist die Frist verstrichen, in der Amazon auf die Anmerkungen hätte eingehen können. Wie das Wall Street Journal berichtet, hatten sich dann gestern, am 18. Januar, Vertreter des Konzerns mit Vertreter der EU-Kommission getroffen. Dabei sei Amazon darauf hingewiesen worden, dass die Kommission der Übernahme wahrscheinlich nicht zustimme. Für eine offizielle Blockade fehlt aber noch die formale die Zustimmung von 27 Regierungschefs.

Wenngleich der Datenschutz in der Veröffentlichung von Einwände der EU keine Rolle spielt, so ist das dennoch ein wichtiger Punkt. Zumal es bei iRobot in der Vergangenheit zu unangenehmen Leaks von intimen Fotos kam, die mittels des Staubsaugerroboter Roomba gemacht wurden. Der Roomba ist dabei nur ein Beispiel für einen Haushaltsroboter, der mit einer Kamera ausgestattet ist. Auch auf andere für die heimischen vier Wände einsetzbaren Geräte trifft das zu. Aber je mehr diese Geräte mit Sensoren ausgestattet sind, desto mehr sensible Daten fallen an, die gut geschützt werden müssen.

Dieser Text stammt aus MIT Technology Review 6/2023

Dieser Text erschien erstmals unter dem Titel "Wenn der Staubsauger uns ausspioniert" in der Ausgabe 6/2023 von MIT Technology Review. Aufgrund der Verhandlungen zur Übernahme von iRobot durch Amazon veröffentlichen wir den Text an dieser Stelle kostenfrei.

Für Sicherheitsforscher ist ein Saugroboter eine mobile Sensorplattform, die mit einem Server im Internet verbunden ist und diesem jede Menge Daten schickt: Grundrisse von Wohnungen zum Beispiel, Kamerabilder oder Punktwolken, aus denen sich Objekte in der Wohnung rekonstruieren lassen. Mit anderen Worten: ein hochinteressantes Angriffsziel.

Spione im Smart Home

Dass diese Gefahr nicht hypothetisch ist, haben Forscherinnen und Forscher in den vergangenen Jahren immer wieder gezeigt: Sie knackten die Software verschiedener Staubsaugerroboter, sodass die Geräte jederzeit von außen in Betrieb genommen werden konnten. Sie brachten Staubsauger dazu, Musik von Spotify abzuspielen, oder luden Wohnungsgrundrisse und Kamerabilder herunter. 2021 konnte ein Forscherteam aus Singapur sogar zeigen, dass sich ein eingebauter Lidar-Scanner auch als Abhörmikrofon nutzen lässt.

Haben wir in naiver Technikbegeisterung unsere Wohnungen mit Spionagewerkzeugen zugepflastert? Die Antwort ist kompliziert, sagen Experten – aber nicht unbedingt beruhigend.

"Smarte" Haushaltsgeräte sollen ein altes Fortschrittsversprechen einlösen: auf die Wünsche des Nutzers zu reagieren, ohne dass dieser sie explizit oder im Detail ausdrücken muss – elektronische Heinzelmännchen sozusagen. Allerdings sind es Hausgeister, die eine ganze Menge über uns wissen. Und während Heizungs- und Lüftungssteuerungen, Sprachassistenten und intelligente Displays meist an ihrem Platz bleiben, fahren intelligente Staubsauger selbstständig durch die Gegend, um Daten zu sammeln und in die Cloud zu schicken.

Mehr zum Thema IoT (Internet der Dinge)

•  LoRaWAN-Gateway umziehen: Verdeckten Raspberry Pi 4 im Helium-Hotspot befreien
• Einplatinenrechner LattePanda Sigma im Test
• RIOT: Freies IoT-Betriebssystem kurz erklärt
• Kurz erklärt: REST-APIs mit CoAP für das IoT
• Praxisanleitung: IoT-Entwicklung für Raspberry Pi mit Windows 11
• Internet of Things: Prozessoptimierung mit digitalen Zwillingen

Dieses Zusammenspiel von Mobilität, Sensoren, Cloud und Server macht die Geräte zu attraktiven Angriffszielen. Denn die Maschinen sind darauf ausgelegt, auf Befehle von außen zu reagieren. Ein Angreifer, der der Software vorgaukelt, einen legitimen Server zu betreiben, kann die Maschine steuern oder Daten abgreifen. Eine andere weit verbreitete Angriffsstrategie besteht darin, die Firmware des Roboters durch eine eigene Software zu ersetzen, die dann natürlich nur mit dem eigenen Webserver kommuniziert. Dazu ist allerdings physischer Zugriff auf das Gerät erforderlich.