Ecovacs-Heimroboter dürften in vielen deutschen Wohnungen unterwegs sein, um dort zu saugen und sauber zu machen. Die Geräte sind aber ein wandelndes Sicherheitsrisiko, Hacker können die Geräte übernehmen und Daten über den Eigentümer etc. abrufen, wie eine Sicherheitsüberprüfung ergab.
Ecovacs-Heimroboter
Ecovacs ist ein chinesischer Hersteller von Haushaltsrobotern. Die Ecovacs Group wurde 1998 von dem heutigen Präsidenten des Unternehmens Dongqi Qian als Elektronikhersteller für Staubsauger gegründet. 2006 erweiterte die Ecovacs Group mit der Gründung von Ecovacs Robotics ihre Geschäftstätigkeit. Das Unternehmen ist auf die Herstellung von Haushaltsrobotern spezialisiert und wohl einer von drei Anbietern am Markt.
Bekannte Produktserien sind die Deebot Staubsaugerroboter und die Winbot Fensterreinigungsroboter. Ich habe beim Schreiben mal kurz geschaut, Ecovacs-Heimroboter werden auch in Deutschland breit angeboten. Von Amazon über Media Markt sind die Geräte im Angebot. Zur Steuerung und Kontrolle bietet der Hersteller eine App für Smartphones an.
Schlechte Kritiken für Ecovacs-Geräte
Auf der kürzlich stattgefundenen Hacking-Konferenz Def Con habe die Sicherheitsforscher Dennis Giese und Braelynn über Schwachstellen in Staubsauger- und Rasenmähroboter des Herstellers Ecovacs berichtet, die Angreifer ausnutzen können, um ihre Besitzer auszuspionieren.
Die Sicherheitsforscher analysierten die folgenden Geräte: Ecovacs Deebot 900 Serie, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Spybot Airbot Z1, Ecovacs Airbot AVA und Ecovacs Airbot ANDY.
Unter anderen fanden die Sicherheitsforscher heraus, dass Schwachstellen es Bedrohungsakteuren ermöglichen könnten, die Kameras und Mikrofone der Geräte über Bluetooth zu übernehmen. Die Geräte besitzen keine optische Signalisierung, die anzeigt, dass ihre Kameras und Mikrofone eingeschaltet sind.
Haben die Angreifer die Kontrolle über das Gerät per Bluetooth erlangt, können sie Remote über die Wi-Fi-Verbindung auf den Roboter zugreifen. Dann lassen sich sensible Daten wie Wi-Fi-Anmeldedaten und gespeicherte Raumpläne abrufen und man kann sogar auf die Kameras und Mikrofone zugreifen. Eine Zusammenfassung ist im Securityaffairs-Artikel hier nachzulesen.
Datenschleuder Ecovacs-App
Nun haben Sicherheitsforscher vom Research Hub des Cybersicherheitsunternehmens Surfshark sich kürzlich mit Datenschutzproblemen im Bereich Smart Home-Geräte befasst. Unter anderem wurden Ecovacs-Saugroboter bzw. deren App auf Schwachstellen und Datenerfassung untersucht. Hier die gesammelten Erkenntnisse zur Ecovacs Home App:
- Die Ecovacs Home App sammelt 6 einzigartige Datenpunkte von 32 möglichen. In der Kategorie Staubsauger- und Wischroboter liegt der Durchschnitt der getesteten Geräte bei 10 gesammelten Datenpunkten. Damit ist Ecovacs bei der Datenerfassung nicht der schlechteste Anbieter.
- Bemerkenswert sei, schreiben die Surfshark-Sicherheitsforscher, dass 3 der von der Ecovacs Home App gesammelten Datenpunkte für Tracking-Zwecke verwendet werden (Weitergabe an Datenbroker oder Dritte für gezielte Werbung). Dies sei ungewöhnlich, heißt es, da keine der anderen analysierten Apps von anderen Herstellern in dieser Kategorie gesammelte Informationen für die Nachverfolgung der Nutzer verwendet. Im Durchschnitt sammelt nur 1 von 10 Smart-Home-Apps Daten für ein solches Tracking.
- Darüber hinaus sind 4 der von der Ecovacs Home App gesammelten Datenpunkte mit der Identität des Nutzers verknüpft, werden laut Surfshark aber nicht mit Netzwerken Dritter geteilt. Dies ist höher als der Durchschnittswert in der gleichen Kategorie mit 3 verknüpften Datenpunkten pro App.
Laut Goda Sukackaite, als Privacy Counsel bei Surfshark tätig, sollte jeder, der Smart-Home-Geräte nutzt, das Folgende tun:
- Sich mit den Privatsphäre-Einstellungen der Geräte und der zugehörigen App aktiv auseinandersetzen;
- die App-Berechtigungen aktiv verwalten, insbesondere diejenige Einstellungen hinterfragen, die im Hinblick auf Datenschutz als übertrieben erscheinen;
- Unnötige Mikrofone und Kameras auf Smart-Geräten deaktivieren und überprüfen, ob die App, die das Mikrofon oder die Kamera verwenden möchte, dies wirklich benötigt, um die Funktion zu erfüllen;
- Sich über die Datensicherheitsrichtlinien der von ausgewählten Smart Home-Geräte informieren;
Potentielle Käufer sollten überprüfen, welche Informationen von ihren Smart-Geräte-Apps gesammelt werden, und lieber Modelle auswählen, die weniger in die Privatsphäre eingreifen. Welche Daten von Smart-Geräte-Apps erfasst werden, können per Surfshark Smart Home Privacy Checker abgefragt werden.
***********************************
Bedrohungsakteuren ermöglichen könnten, die Kameras und Mikrofone der Geräte über Bluetooth zu übernehmen.
***********************************
Also aus der Ferne nicht möglich… Bluetooth setzt gewisse „Nähe“ voraus… und nen Staubsaugerroboter ist im allgemeinen auch nicht ausserhalb der eigenen 4 Wände per Blutooth erreichbar.
Trotzdem gilt natürlich gerade bei Smarten Geräten: Augen auf vor Kauf und Apps sollte man sowieso die Rcchte aufs Minimum notwendige beschränken.
Also bleibt da nix übrig was einem beunruhigen sollte! Wer „Freunde“ ins Haus läßt die einem Smarte Geräte hacken, sollte die Definition von Freunden nochmals überdenken.
Ferne ist hier relativ @Luzifer – „nicht möglich“ und die Reichweite zwischen 1, typischen 40 (BT-LE 10mW) oder 100 Metern mit omnidirektionalem Rundstrahler (oft nur Antenne auf PCB als Stummel-Dipol bei billigen Geräten) wäre variabel.
Ich selbst war erstaunt, was man in Stadt, in selben Haus oder auf anderer Straßenseite mit dem BBC MicroBit, angelöteter SMA-Buchse und 5x geringelter Helix oder einem Reflektor alles senden hört. Staubsauger waren nicht dabei, jedoch Bluetooth-Handy-Anbindungen von Autos am Straßende, Laptop im Haus gegenüber, Homeautomatisierung … und ich glaube eine Zahnbürste irgendwo bei Nachbarn. WTF? Braucht eine Zahnbürste von Oral heute Bluetooth?? Dies mit Bauteilen für 20-30€.
Dazu noch Handwerkszeug wie btlejack, Logging und Spaß… Genauso funke Ich Dir auf Sicht Wlan auch über 5 KM, 900 Meter sind zB hier im Einsatz, ist ebenso 2,4 Ghz und mW-limitiert zB auf 100mW.
Trotzdem muss der Hacker „vor Ort“ sein 100m Umkreis ist jetzt nicht weit… und hängt auch von der Bausubstanz ab, bei mir kommt ausserhalb gar nix an (Aluminium Fassade; CopperMesh Tapeten und EMV Verglasung). Also nix mit Russen China Korea & Co. … und schau ich mich in der Nachbarschaft um, naja die sind schon froh wenn sie am PC den Einschalter finden ;-P
In ner dicht gedrängten Großstadt mit Ständerbauweise mag das anders aussehen, aber auch da bist du bei Bluetooth vor dem Russenhacker sicher.
Das sich WLAN mit Richtantennen auch größere Entfernungen überbrücken lassen ist jetzt auch nix Neues… Mit Laserlink geht da weit aus mehr.
Wer Smarte Geräte ins Haus läßt, die man einfach hacken kann, sollte den Nutzungsbedarf von Smarten Geräten nochmals überdenken.
Wenn man einen Staubsaugerroboter im Einsatz hat und nicht will, dass das Gerät Daten in die Cloud sendet, nicht die App des Herstellers auf dem Handy installieren will und nicht will, dass der Hersteller Teile des Geräts abschaltet, kann Valetudo dafür sorgen, dass das Gerät wirklich seins ist und der Hersteller nicht weiß, dass es jemals in Betrieb genommen wurde.
Gäbe es diese Möglichkeit nicht (Danke an Sören Beye und Dennis Giese), sollte man ein solches Gerät nicht anschaffen.
Hab dir einen Mail geschickt – wenn ich ein paar Infos bekomme, mache ich mal einen Blog-Beitrag drüber – der Ansatz klingt interessant.
Ecovacs ist nur leider nicht dabei! :(
https://valetudo.cloud/pages/general/supported-robots.html
wieder etwas gelernt – Commodore baut keine VC20 mehr *seufz* sondern Vacuuum-Roboter „CVR 200“.
Ja, leider ist es nicht für alle Geräte verfügbar. Mein Anschaffungs-KO-Kriterium eines Gerätes ist: Wenn Valetudo nicht geht, wird es nicht gekauft.
@Günther: ich antworte heute Abend
Technischer Hinweis, der „More“ Link in WordPress steckt in der H2 Überschrift „Ecovacs-Heimroboter“, daher ist das „Weiterlesen →“ auf der Startseite derzeit sehr gross und wird SEO technisch als H2 interpretiert, was sicherlich nicht beabsichtigt ist.
Danke – wenn ich jetzt noch wüsste, wo mir der H2-Tag reingedengelt worden ist, wäre ich weiter.
Herzlichen Dank – hab es doch schnell gefunden, aber ich glaube ich werde langsam alt. Der „more“-Tag von WordPress zur Kennzeichnung des „Weiterlesen“-Links war in den H2-Tag der Überschrift gerutscht (hat der Windows Live Writer wohl so verhunzt). Hab den „more“-Tag für WordPress einfach vor die Überschrift geschoben und alles war wieder gut.
Kleiner Nachtrag, weil es mir wieder unter die Augen kam. Ecovacs-Hack in den USA.
Robot vacuum cleaners yell racial slurs, chase pets after cyber attack