{"id":237549,"date":"2024-08-13T11:08:24","date_gmt":"2024-08-13T09:08:24","guid":{"rendered":"https:\/\/www.ifun.de\/?p=237549"},"modified":"2024-08-13T11:08:24","modified_gmt":"2024-08-13T09:08:24","slug":"ecovacs-roboter-nicht-ausreichend-gegen-fremdzugriff-geschuetzt","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/ecovacs-roboter-nicht-ausreichend-gegen-fremdzugriff-geschuetzt-237549\/","title":{"rendered":"Ecovacs-Roboter nicht ausreichend gegen Fremdzugriff gesch\u00fctzt"},"content":{"rendered":"<p>Der Frankfurter Entwickler Dennis Giese besch\u00e4ftigt sich schon seit einigen Jahren mit Smarthome-Robotern. Unter anderem hat er sich mit dem Projekt <a href=\"https:\/\/builder.dontvacuum.me\/\">DustBuilder<\/a> einen Namen gemacht, mit dessen Hilfe man die Saugroboter unterschiedlicher Hersteller aus deren Cloud-Systemen \u201ebefreien\u201c und mit einer eigenen Firmware bespielen kann.<\/p>\n<p>Auf der Hackerkonferenz <a href=\"https:\/\/info.defcon.org\/event\/?id=54998\">DEFCON<\/a> hat Giese nun die Sicherheit von Haushaltsrobotern, insbesondere von Ecovacs-Modellen, kritisch beleuchtet. Seine Untersuchung zeigt teils gravierende Schwachstellen, darunter die fehlende Verifizierung von TLS-Zertifikaten, defekte Werkseinstellungen und die M\u00f6glichkeit zum nicht autorisierten Zugriff auf Live-Kamerabilder.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack-700x461.jpg\" alt=\"Giese Ecovacs Hack\" width=\"700\" height=\"461\" class=\"alignnone size-large wp-image-237551\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack-700x461.jpg 700w, https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack-500x329.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack-768x506.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack-1536x1012.jpg 1536w, https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/giese-ecovacs-hack.jpg 1738w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/a><\/p>\n<p>Diese Probleme k\u00f6nnten potenziell dazu genutzt werden, die Ger\u00e4te auszuspionieren. Damit verbunden berichtetete Giese von Schwierigkeiten, diese Sicherheitsl\u00fccken an den Hersteller zu melden, und \u00e4u\u00dfert Zweifel an der Zuverl\u00e4ssigkeit von externen Zertifizierungsstellen. Das Fazit d\u00fcrfte niemand \u00fcberraschen: Wer seine Privatsph\u00e4re sch\u00fctzen will, sollte vorsichtig bei der Auswahl und Nutzung von solchen Ger\u00e4ten sein.<\/p>\n<h2>Initiale Attacke setzt Bluetooth voraus<\/h2>\n<p>Die gute Nachricht ist, wenn man so will, dass sich die von Giese beschriebenen Ecovacs-Hacks ausschlie\u00dflich \u00fcber Bluetooth durchf\u00fchren lassen und ein Angreifer somit zumindest bei seiner ersten Attacke r\u00e4umlich in der N\u00e4he sein muss. Anschlie\u00dfend sei der Zugriff allerdings auch \u00fcbers Internet m\u00f6glich und die Angreifer k\u00f6nnten auf die in den Ger\u00e4ten verbauten Kameras und Mikrofone zugreifen.<\/p>\n<p>Der initiale Angriff ist bei den im Haus genutzten Reinigungsroboter allerdings schwieriger, als bei den Rasenm\u00e4hern von Ecovacs. Die Saug- und Wischroboter erlauben nach ihrer Aktivierung nur \u00fcber einen begrenzten Zeitraum hinweg eine Blutooth-Verbindung. Die M\u00e4hroboter von Ecovacs lassen allerdings permanent Bluetooth-Verbindungen zu, um auch au\u00dferhalb der WLAN-Verf\u00fcgbarkeit per Mobiltelefon ansprechbar zu sein. Bei diesen Ger\u00e4ten gibt es dann immerhin zumeist nicht mehr zu sehen, als auch mit einem Blick \u00fcber den Gartenzaun m\u00f6glich ist.<\/p>\n<p><div class=\"responsive-video\"><iframe loading=\"lazy\" title=\"Ecovacs X1 PIN bypass\" width=\"500\" height=\"375\" src=\"https:\/\/www.youtube-nocookie.com\/embed\/rQWiDX83fuo?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/div><\/p>\n<h2>Ecovacs muss dringend nachbessern<\/h2>\n<p>Ungeachtet dessen muss sich Ecovacs jedoch vorwerfen lassen, den Schutz der Privatsph\u00e4re str\u00e4flich vernachl\u00e4ssigt zu haben. Zudem h\u00e4tten sich im Laufe der Untersuchung diverse weitere Probleme und Fehler in Bezug auf die Sicherheit sowie den Schutz der auf den Ger\u00e4ten und in der Ecovacs-Cloud gespeicherten pers\u00f6nlichen Daten gezeigt.<\/p>\n<p>Die im Detail <a href=\"https:\/\/dontvacuum.me\/talks\/DEFCON32\/DEFCON32_reveng_hacking_ecovacs_robots.pdf\">hier als PDF abrufbare Analyse<\/a> sorgt hoffentlich daf\u00fcr, dass Ecovacs die betroffenen Systembereiche grundlegend verbessert. Unsere Faustregel f\u00fcr den Einsatz von Smarthome-Ger\u00e4ten lautet ohnehin, dass man auf Kameras im Innenraum wo m\u00f6glich verzichten oder diese nur wenn niemand in der Wohnung ist aktivieren sollte.<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/b16c6c0033e04e3092b0be7c61b7a9be\" width=\"1\" height=\"1\" no-lazy class=\"tracking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/ecovacs-roboter-nicht-ausreichend-gegen-fremdzugriff-geschuetzt-237549\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/ecovacs-hack-feature-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Ecovacs Hack Feature\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Der Frankfurter Entwickler Dennis Giese besch\u00e4ftigt sich schon seit einigen Jahren mit Smarthome-Robotern. Unter anderem hat er sich mit dem Projekt DustBuilder einen Namen gemacht, mit dessen Hilfe man die Saugroboter unterschiedlicher Hersteller aus deren Cloud-Systemen \u201ebefreien\u201c und mit einer eigenen Firmware bespielen kann. Auf der Hackerkonferenz DEFCON hat Giese nun die Sicherheit von Haushaltsrobotern, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":237552,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[5946,664,92],"class_list":["post-237549","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-ecovacs","tag-roboter","tag-sicherheit"],"acf":[],"aioseo_notices":[],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/ecovacs-hack-feature.jpg"],"subheadline":["Hacker greift auf M\u00e4h- und Saugroboter zu"],"rest_api_enabler":{"featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2024\/08\/ecovacs-hack-feature.jpg","subheadline":"Hacker greift auf M\u00e4h- und Saugroboter zu"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/237549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=237549"}],"version-history":[{"count":2,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/237549\/revisions"}],"predecessor-version":[{"id":237554,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/237549\/revisions\/237554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/237552"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=237549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=237549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=237549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}