In jüngster Zeit hat eine Welle von Cyberangriffen Staubsaugerroboter ins Visier genommen und sie in unerwartete Quellen der Überwachung und verbalen Belästigung verwandelt. Mehrere Nutzer in den Vereinigten Staaten haben berichtet, dass ihre Ecovacs Deebot X2-Staubsauger - die als führende Marke im Bereich der Serviceroboter gelten - gehackt wurden und nun Beleidigungen und Obszönitäten über ihre Lautsprecher ausstoßen.
Eines der Opfer, Daniel Swenson, ein Anwalt aus Minnesota, bemerkte zuerst seltsame Geräusche, die aus seinem Staubsauger kamen. Als er das Gerät über die Ecovacs-App überprüfte, stellte er schockiert fest, dass jemand anderes auf die Live-Kamera und die Fernsteuerungsfunktionen zugriff. Obwohl er das Gerätepasswort änderte, ging der unbefugte Zugriff weiter, und das Gerät begann, laute, beleidigende Sprache auszustrahlen. Da er sich bedroht fühlte, schaltete Swenson den Staubsauger schließlich aus und entfernte ihn vollständig aus seinem Haus.
Dieser Vorfall warf erhebliche Datenschutz- und Sicherheitsbedenken auf, zumal es nicht das erste Mal war, dass Smart-Home-Geräte für eine unbeabsichtigte Überwachung missbraucht wurden. Innerhalb weniger Tage nach Swensons Erfahrung wurden ähnliche Fälle gemeldet, bei denen es um die unbefugte Steuerung von Ecovacs Deebot X2-Modellen ging. Auf Nachfrage erklärte Ecovacs, dass die Hacker Swensons Anmeldedaten wahrscheinlich im Rahmen eines "Credential Stuffing"-Angriffs verwendet haben, bei dem die Angreifer Passwörter von anderen Websites gestohlen haben. Diese Antwort erklärt jedoch nicht vollständig die Sicherheitslücke, da der Zugriff auf die Kamera der App durch einen eindeutigen PIN-Code gesichert sein sollte, der von der Geräteanmeldung getrennt ist.
Weitere Untersuchungen ergaben eine mögliche Erklärung: Im Jahr 2023 entdeckten Sicherheitsforscher eine Schwachstelle in der Ecovacs-PIN-Sicherheitsfunktion. Anstatt die PIN über die Ecovacs-Server oder das Gerät selbst zu überprüfen, erfolgte die PIN-Prüfung nur innerhalb der App. Dies ermöglichte es jedem, der die Kontrolle über die App hat und über technisches Know-how verfügt, die PIN-Prüfung zu umgehen. Obwohl Ecovacs behauptete, diese Schwachstelle gepatcht zu haben, merkte einer der Forscher an, dass die Korrektur möglicherweise nicht vollständig wirksam war.
Nach den Angriffen hat Ecovacs nach eigenen Angaben E-Mails verschickt, in denen die Kunden aufgefordert wurden, ihre Passwörter zu ändern. Nutzer wie Swenson berichteten jedoch, dass sie nicht über spezifische Sicherheitsprobleme informiert wurden und keine Hinweise zur Verbesserung der Gerätesicherheit erhielten. Ecovacs hat ein Sicherheitsupdate für die X2-Serie versprochen, das voraussichtlich im November 2024 erscheinen wird. Bis dahin wird den Nutzern empfohlen, ihre Geräte zu deaktivieren oder zusätzliche Vorsichtsmaßnahmen zu ergreifen, um ihre Konten zu schützen.
Was das für die IoT-Sicherheit bedeutet
Die durch diese Vorfälle aufgezeigten Schwachstellen unterstreichen die Notwendigkeit strenger Sicherheitsvorkehrungen bei allen IoT-Geräten, insbesondere bei solchen mit Kameras oder Mikrofonen. Die Gerätehersteller müssen eine starke, serverbasierte Authentifizierung für kritische Funktionen bevorzugen und im Falle von Sicherheitsproblemen eine prompte Kommunikation mit den Nutzern gewährleisten.
ComplianceRT setzt sich weiterhin dafür ein, Unternehmen bei der Stärkung ihrer Cybersicherheitslage zu unterstützen, um solche Verstöße zu verhindern. Unser Team bietet Compliance- und Sicherheitsbewertungen, maßgeschneiderte Lösungen für IoT-Hersteller und Best Practices für die Verwaltung von Benutzeranmeldeinformationen und Zugangskontrollen, um die Privatsphäre zu schützen und das Vertrauen der Verbraucher zu erhalten.
Quelle: https://www.malwarebytes.com/blog/news/2024/10/robot-vacuum-cleaners-hacked-to-spy-on-insult-owners
- Wir können Ihnen helfen, FADP-konform zu werden!
Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften
