Grundriss auslesbar

Schwere Sicherheitslücke in Staubsauger-Roboter

Elektronik
02.06.2019 09:34

Forscher der TU Darmstadt haben eine schwere Sicherheitslücke in einem populären Staubsauger-Roboter gefunden. Die aufgedeckte Sicherheitslücke erlaubt es Angreifern, aus der Ferne auf das Gerät und andere Roboter des Herstellers zuzugreifen und deren Status sowie den Grundriss der Wohnung abzurufen.

Konkret geht es um das Modell Tesvor X500. Das recht verbreitete Modell im unteren Preissegment wird über den Online-Handel vertrieben. Um auf seine Daten zugreifen zu können, muss vom Staubsauger-Roboter nichts weiter bekannt sein als die sogenannte MAC-Adresse - eine lange Zahlenfolge, über die man ein elektronisches Gerät eindeutig identifizieren kann. „Die MAC-Adresse ist kein Sicherheitsmerkmal und kann vom Angreifer mithilfe bestimmter Techniken leicht herausgefunden werden“, heißt es in einer Mitteilung der TU. Die App, mit der der Staubsauger gesteuert wird, nutze als Authentifikation für die Steuerungsberechtigung trotzdem nur die MAC-Adresse.

(Bild: Tesvor)

Auslieferung ohne Sicherheitszertifikat
Die Forscher kritisieren außerdem den Umgang mit digitalen Zertifikaten: Normalerweise würden diese bei der Produktion vom Hersteller auf das Gerät geladen, damit es sofort bei der Einrichtung eine geschützte Verbindung aufbauen könne. Die Geräte von Tesvor würden aber ohne Zertifikat ausgeliefert und fragten dieses erst bei erstmaliger Aktivierung an. Dadurch werde eine sogenannte Man-in-the-Middle-Attacke möglich, wodurch das Zertifikat quasi von einem Mithörer zwischen Roboter und Server „in der Mitte“ abgefangen werden könne.

(Bild: Tesvor)

Auf Problem bislang nicht reagiert
„Der Angreifer kann dann die geschützte Verbindung zwischen Gerät und Cloud mitlesen, verändern oder sich als Gerät ausgeben. Des Weiteren könnte er selber Zertifikate vom Hersteller abfragen und sich damit als neues Gerät ausgeben“, warnen die Forscher. Nach deren Angaben wurde der Gerätehersteller bereits mehrfach schriftlich auf die gravierenden Sicherheitsprobleme hingewiesen - eine Antwort steht noch aus.

 krone.at
krone.at
Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele