Ferngesteuert ins Smart Home: Saugroboter verrät Grundriss der Wohnung
Cloud-basierte Saugroboter von Tesvor sind angreifbar, weil sie lediglich die MAC-Adresse zur Authentifizierung verwenden. Sie schlampen auch bei Zertifikaten.
Eine Sicherheitslücke in den Saug- und Wischrobotern von Tesvor verrät Angreifern den Gerätestatus und den Grundriss der Wohnung, in der sie putzen.
(Bild: Markus Miettinen, System Security Lab)
In den Staubsauger- und Wischrobotern des chinesischen Herstellers Tesvor steckt eine Software-Schwachstelle, über die Angreifer aus dem Internet den Gerätestatus sowie den Grundriss der Wohnung, in dem der Roboter Dienst tut, auslesen können. Dazu muss lediglich die MAC-Adresse des Geräts bekannt sein – sie reicht fürs Authentifizieren aus. Das fanden Forscher des System Security Lab an der TU Darmstadt heraus.
Authentifizieren per MAC-Adresse
Die auf Sicherheitsanalysen von IoT-Geräten spezialisierten Forscher untersuchten den Saugroboter Tesvor X500 und stellten dabei erhebliche Sicherheitsprobleme fest, wie die TU Darmstadt mitteilt. In der Software des Geräts stecken zwei Sicherheitslücken, die alle Wisch- und Staubsaugerroboter dieses Herstellers angreifbar macht. Zum einen erlangt ein Benutzer die Steuerungsberechtigung über das Gerät, indem er in der dafür vorgesehenen App des Herstellers lediglich die MAC-Adresse des Geräts angibt. Als Back-End der Tesvor-Geräte kommt Amazons AWS IoT zum Einsatz, ein Cloud-Dienst für die zentrale Ansteuerung von IoT-Geräten.
Eine andere Sicherungsmaßnahme zur Authentifizierung hat der Hersteller nicht implementiert. Eine MAC-Adresse ist jedoch kein sicheres Authentifizierungsmerkmal – bei bekannter Hersteller-ID der entsprechenden Netzkomponente lässt sich der verfügbare Adressraum durch simples Hochzählen bis zu einem Treffer ausprobieren.
Ohne Zertifikat ausgeliefert
Außerdem hat der Hersteller darauf verzichtet, seine Geräte bereits zur Auslieferung mit einem Zertifikat zu versehen, das eine sichere Kommunikation mit der AWS-IoT-Cloud sicherstellt. Bei der ersten Aktivierung eines Saugroboters fragt dieser laut den Darmstädter Forschern den Server des Herstellers nach einem Zertifikat und verbindet sich anschließend darüber mit der AWS-IoT-Cloud. Diesen nicht authentifizierten Zertifikatsaustausch könnten Angreifer über eine Man-in-the-Middle-Attacke nutzen und das Zertifikat abfangen. Die Verbindung zur Amazon-Cloud ließe sich dann mitlesen und manipulieren. Ein Angreifer könnte sich etwa selbst als Gerät ausgeben, schreiben die Forscher.
Der Tesvor X500 Saugroboter wird in Deutschland über den Online-Handel für etwa 199 Euro vertrieben, darunter auch beim deutschen Webshop des Herstellers. Die Darmstädter Forscher haben den Hersteller mehrfach schriftlich auf die gravierenden Schwachstellen hingewiesen, bisher aber noch keine Antwort erhalten.
Die Kommunikation zwischen Steuerungs-App und Back-End in der Cloud hat sich bei IoT-Geräten für das "smarte Zuhause" bereits als Einfallstor für Angreifer erwiesen: Haushaltsgeräte von LG etwa ließen sich 2017 komplett fernsteuern und die Kamera des Saugroboters lieferte Fremden einen Video-Livestream aus dem Haus des Benutzers. Ebenfalls 2017 gelang es Sicherheitsexperten, das Verschlüsselungssystem des Saugroboters "Mi Robot Vacuum" von Xiaomi zu knacken. Sie enthüllten zudem, dass die Geräte sehr großzügig Daten in der Cloud speicherten.
Auf Knopfdruck eine saubere Wohnung bis in den letzten Winkel – das versprechen moderne Saugroboter mit Kamera- oder gar Laser-Distanz-Navigation. Wir haben bei sechs Topmodellen getestet, wie gut sie saugen und ob sie auch beim Datenschutz sauber arbeiten.
(tiw)
