Nach Cyberattacke: Ecovacs-Saugroboter erlauben Kamerazugriff und mehr

Dystopische Szenen spielten sich unlängst in US-amerikanischen Wohnzimmern ab: Innerhalb weniger Tage gelang es Cyberangreifern wiederholt, aus der Ferne die komplette Kontrolle über Saugroboter in mehreren Städten zu erlangen. Die Täter überzogen daraufhin die Bewohner über die eingebauten Lautsprecher schreiend mit Obszönitäten und rassistischen Beschimpfungen inklusive des F- und des N-Wortes. Das Problem betrifft laut einem Bericht des US-Senders ABC insbesondere das Modell Deebot X2 des chinesischen Herstellers Ecovacs, dessen Geräte seit Längerem als notorisch unsicher gelten.

Neben den Sicherheitslücken steht der Hersteller in der Kritik, angeblich mit vom Saugroboter erfassten Daten die KI des Unternehmens zu trainieren. Selbst von Nutzern gelöschte Aufnahmen sollen im Unternehmen gespeichert und genutzt worden sein. Diese Möglichkeiten zur Audio- und Bilddatenerfassung der Geräte haben nun offenbar auch die Cyberkriminellen entdeckt und genutzt.

Zu den Betroffenen gehört laut ABC die Familie des Anwalts Daniel Swenson aus Minnesota. Er sah demnach an einem Tag im Mai fern, als sein Saugroboter seltsame Geräusche von sich gab. "Es klang wie ein unterbrochenes Funksignal oder so etwas", sagte er dem Sender. "Man konnte vielleicht Stimmfetzen hören." Über die Ecovacs-App sah er, dass ein Fremder auf die Live-Kameraübertragung und die Fernsteuerungsfunktion zugegriffen hatte. Swenson hielt es für eine Panne, setzte sein Passwort zurück, startete den Bot neu und setzte sich wieder neben seine Frau und seinen 13-jährigen Sohn auf die Couch. Doch das Gerät regte sich sofort wieder und diesmal waren die rassistischen Beleidigungen unüberhörbar.

Trotz der lautstarken Ansprache war Swenson dem Bericht zufolge froh, dass die Angreifer ihre "Anwesenheit" zumindest deutlich ankündigten. Es wäre viel schlimmer gewesen, gab er zu bedenken, wenn sie beschlossen hätten, seine Familie heimlich in ihrem Haus zu beobachten. Der Saugroboter landete dann abgeschaltet in der Garage.

Spukende Roboter auch in LA und El Paso

Etwa zur gleichen Zeit gab es in den gesamten USA mehrere Berichte über ähnliche Vorfälle. Einer davon ereignete sich ABC zufolge in Los Angeles, wo ein Staubsauger einen Hund jagte und dabei Hasstiraden ausspuckte. Spät in der Nacht soll ein Deebot zudem in El Paso seinen Besitzer mit rassistischen Schimpfwörtern beleidigt haben, bis dieser ihn von der Stromversorgung trennte.

Die Angriffe sind offenbar vergleichsweise einfach durchzuführen, da Ecovacs-Saugroboter mehrere bekannte Sicherheitslücken aufweisen. Dazu gehören ein fehlerhafter Bluetooth-Anschluss, der eine Fernsteuerung aus bis zu 100 Meter Entfernung ermöglichen soll, sowie ein defektes PIN-System. Diese Vorkehrung soll eigentlich Video-Feeds vor einem Fernzugriff schützen, hat aber offenbar nur symbolischen Charakter.

PIN-System hat nur symbolischen Wert

Die IT-Sicherheitsforscher Dennis Giese und Braelynn Luedtke hatten schon im Dezember auf dem Chaos Communication Congress in Hamburg enthüllt, dass die Abfrage der vierstelligen PIN einfach umgangen werden kann. Der Sicherheitscode wird demnach nur von der App geprüft, nicht von einem Server oder dem Roboter selbst. Das bedeutet den Experten zufolge, dass jeder mit dem nötigen technischen Know-how die Prüfung aushebeln könnte. Das Duo hatte Ecovacs nach eigenen Angaben vor dem Problem gewarnt, bevor sie es öffentlich machten.

Ein Ecovacs-Sprecher erklärte gegenüber ABC, dieser Fehler sei mittlerweile behoben. Man habe Kunden per E-Mail angewiesen, ihre PINs zu ändern. Im November werde zudem ein zusätzliches Sicherheitsupgrade für die X2-Serie herausgeben. Giese zufolge reicht die bisherige Lösung des Unternehmens nicht aus, um die Schwachstelle zu schließen. Swenson moniert, er sei in keinem seiner Gespräche mit Ecovacs über das PIN-Code-Problem informiert worden. Der Kundenservice habe ihm seine Geschichte zunächst gar nicht glauben wollen und mehrfach um eine Videodokumentation gebeten.

(usz)