02.06.2019 09:34 |

Grundriss auslesbar

Schwere Sicherheitslücke in Staubsauger-Roboter

Forscher der TU Darmstadt haben eine schwere Sicherheitslücke in einem populären Staubsauger-Roboter gefunden. Die aufgedeckte Sicherheitslücke erlaubt es Angreifern, aus der Ferne auf das Gerät und andere Roboter des Herstellers zuzugreifen und deren Status sowie den Grundriss der Wohnung abzurufen.

Artikel teilen
Drucken
Kommentare
0

Konkret geht es um das Modell Tesvor X500. Das recht verbreitete Modell im unteren Preissegment wird über den Online-Handel vertrieben. Um auf seine Daten zugreifen zu können, muss vom Staubsauger-Roboter nichts weiter bekannt sein als die sogenannte MAC-Adresse - eine lange Zahlenfolge, über die man ein elektronisches Gerät eindeutig identifizieren kann. „Die MAC-Adresse ist kein Sicherheitsmerkmal und kann vom Angreifer mithilfe bestimmter Techniken leicht herausgefunden werden“, heißt es in einer Mitteilung der TU. Die App, mit der der Staubsauger gesteuert wird, nutze als Authentifikation für die Steuerungsberechtigung trotzdem nur die MAC-Adresse.

Auslieferung ohne Sicherheitszertifikat
Die Forscher kritisieren außerdem den Umgang mit digitalen Zertifikaten: Normalerweise würden diese bei der Produktion vom Hersteller auf das Gerät geladen, damit es sofort bei der Einrichtung eine geschützte Verbindung aufbauen könne. Die Geräte von Tesvor würden aber ohne Zertifikat ausgeliefert und fragten dieses erst bei erstmaliger Aktivierung an. Dadurch werde eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server „in der Mitte“ abgefangen werden könne.

Auf Problem bislang nicht reagiert
„Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben. Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben“, warnen die Forscher. Nach deren Angaben wurde der Gerätehersteller bereits mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen - eine Antwort steht noch aus.

 krone.at
krone.at
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).