Achtung: Ihr Saugroboter spioniert Sie aus

Aufräumen und sauber machen ist etwas, was den meisten eher weniger Spaß macht. Das ist wahrscheinlich unter anderem einer der Gründe, warum smarte Staubsauger immer beliebter werden und kontinuierlich neue Funktionen bekommen: Steuerung über das Smartphone, Videostreaming über integrierte Kameras und mehr.

Der Dongguan Diqee 360 ist ein solcher Staubsauger – und er bringt zusätzlich zu seinen vielen tollen Funktionen auch zwei unschöne Sicherheitslücken mit.

Zwei Lücken zum Preis eines Saugroboters

Sicherheitsforscher von Positive Technologies haben herausgefunden, dass der Dongguan Diqee 360, ein chinesischer smarter Saugroboter, zwei Sicherheitslücken mitbringt die es Angreifern unter anderem Erlauben, seine Besitzer auszuspionieren.

Sicherheitslücke #1: Anwenderfaulheit

Die erste Lücke, CVE-2018-10987, kann von der Ferne aus ausgenutzt werden. Das bedeutet, dass Cybergauner, die den Roboter in einem Netzwerk finden, ganz einfach auf ihn zugreifen können. Dazu brauchen sie lediglich Nutzernamen und Passwort. Weil die meisten Menschen das Standartpasswort nie ändern, stellt das keine große Herausforderung dar.

Sobald die Hacker sich authentifiziert haben, ist es ein leichtes die Kontrolle über den Diqee 360 zu gewinnen: „Ein authentifizierter Angreifer kann spezielle UDP-Pakete an den Sauger schicken und Befehle als Root-Anwender ausführen. Der Bug befindet sich in der Funktion REQUEST_SET_WIFIPASSWD (UDP-Befehl 153).“

Sicherheitslücke #2: Bösartige Dateien auf einer SD-Karte

Die zweite Sicherheitslücke (CVE-2018-10988) ist nicht ganz so einfach anwendbar: Der Hacker muss sich hierbei Zugriff zum Diqee 360 verschaffen und eine präparierte SD-Karte einstecken. Auf dieser sind bereits die bösartigen Dateien platziert, die man auf dem Sauger haben will. Sobald die Karte an Ort und Stelle ist, greift er für Firmware-Aktualisierungen mit Superuser-Rechten auf den Ordner upgrade_360 zu und führt die Dateien aus – ganz ohne die digitale Signatur zu überprüfen.

Handeln ist angesagt

Momentan gibt es noch keinen Patch, mit dem man die Lücken beheben kann. Positiv Technologies hat Dongguan zwar kontaktiert aber bisher noch keine Antwort erhalten. Es gibt dennoch etwas, was Sie zu Ihrer Sicherheit tun können:

Ändern Sie Ihr Passwort: Eines der größten Sicherheitsrisikos ist oft Anwenderfaulheit – viele Menschen machen sich nicht die Mühe, das Standartpassort zu ändern, mit denen die Geräte ausgeliefert werden. Machen Sie nicht den gleichen Fehler. Ändern Sie die Passwörter Ihrer IoT-Geräte so schnell wie möglich.

Überprüfen Sie Ihr Smart Home auf Sicherheitslücken: Es ist ziemlich schwer alle Smart Home-Geräte kontinuierlich im Blick zu haben, vor allem wenn es um potentielle Sicherheitslücken geht. Zum Glück gibt es Helfer, wie zum Beispiel Home Guard. Sie überprüfen all Ihre smarten Geräte auf  Sicherheitslücken und schlagen Alarm, wenn es Grund zur Sorge gibt.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.