Deebot X2 von Ecovacs betroffen
Hackerangriffe auf Saugroboter: Hunde gejagt, per Sprach-Chat gepöbelt
In mehreren US-Städten wurden Saugroboter des Anbieters Ecovacs, konkret wohl ausschließlich der recht neue Deebot X2, von Hackern angegriffen. Dies berichtet der US-Nachrichtensender ABC. Die Angreifer übernahmen dabei die Kontrolle über die Geräte, steuerten diese durch die Wohnräume der Betroffenen, verfolgten anwesende Haustiere und äußerten rassistische Beleidigungen über die Lautsprecher.
Hacker nutzen Fernzugriff
Der Fall des Anwalts Daniel Swenson aus Minnesota veranschaulicht die Situation. Während Swenson mit seiner Familie im Wohnzimmer saß, begann sein Saugroboter, sich ohne Vorwarnung zu bewegen. Wenig später ertönten aus dem Lautsprecher rassistische Beschimpfungen. Über die Ecovacs-App stellte Swenson fest, dass ein Fremder Zugriff auf die Kamera und Steuerung des Roboters hatte. Swenson war einer von mehreren Betroffenen, die dem Nachrichtensender ähnliche Vorfälle meldeten. Auch in Los Angeles und El Paso kam es zu vergleichbaren Übernahmen.
Sicherheitsforscher hatten Ecovacs bereits Monate zuvor auf Schwachstellen hingewiesen, insbesondere auf die unzureichende Sicherung der Bluetooth-Verbindung. Über diese Lücke wäre es möglich, die Geräte aus großer Entfernung zu steuern. In den aktuellen Vorfällen scheint jedoch vor allem das PIN-System zum Schutz der Kamerafunktion leicht umgangen worden zu sein.
Hersteller reagiert mit Update
Ecovacs hat inzwischen mit einer offiziellen Stellungnahme (PDF-Download) auf die Vorfälle reagiert und bestätigte, dass es sich bei einigen Fällen um sogenannte „Credential-Stuffing“-Angriffe gehandelt habe. Dabei nutzen Hacker gestohlene Zugangsdaten von anderen Webseiten, um sich in die Konten der Nutzer einzuloggen. Das Unternehmen betonte, dass die eigenen Systeme nicht kompromittiert worden seien. Dennoch wurden betroffene IP-Adressen blockiert und Kunden aufgefordert, ihre Passwörter zu ändern.
Ein Firmware-Update, das die Sicherheitslücken schließen soll, ist für November 2024 geplant. Bis dahin empfiehlt Ecovacs seinen Nutzern, starke Passwörter zu verwenden und die Sicherheit ihrer WLAN-Netzwerke zu überprüfen, um weitere Angriffe zu verhindern.
Also Bluetooth und „große Entfernung“ schließt sich doch aus.
Der Angriffsvektor muss was anderes gewesen sein
Ah. Zweiter Kaffee und lesen hilft.
Accounts wurden übernommen
Warum erinnert mich das bloß an Big Bang Theory
:-))
Sie sagen es uns mit ihren Filmen
Geil, echt jetzt?
Am besten werden die Chinamarken geschützt sein ^^
Ecovacs ist eine Chinamarke.
Die größte Wahrscheinlichkeit, wie so ein Hacker Angriff erfolgen konnte, ist mutmaßlich über die Cloud.
Lokale Angriffe sind zwar auch möglich, aber sehr unwahrscheinlich (es wird sich kaum jemand vor ein Haus stellen, um mit der weitreichenden Bluetooth Funktion einen Staubsauger Roboter fehlzuleiten).
Bei einer Cloud handelt es sich nicht eine virtuelle Wolke, sondern um
„Computer anderer Leute“!
Also Augen auf, bei der Cloud-Verwendung.
Zugegeben, für die „Wo ist“- Funktion meines iPhones nutze ich sie auch. Allerdings nur dafür!
@Hipptu
Danke für: „Computer anderer Leute“. Das sollte man sich tatsächlich immer wieder mal bewusst machen.
Noch mal ein guter Moment, um auf das Open Source Projekt https://valetudo.cloud/ hinzuweisen. Man kann durch die Arbeit des unabhängigen Sicherheits- und Datenschutz-Forschers Dennis Giese die Roboter rooten, also die Macht übernehmen, und durch die Arbeit von Sören Beye einen Ersatz Cloud auf den Robi installieren. Ich nutze das schon seit vielen Jahren und bin mehr als zufrieden.
Fähigkeiten gehen nicht verloren. Dafür kommen weitere hinzu, die für Smarthome Enthusiasten sehr interessant sind.
Ich kaufe Roboter nur noch nach der Valetudo Einkaufs-Liste
Valetudo is topp. Nur ist der Entwickler ein arroganter A***h. Bin des Öfteren schon mit ihm zusammen geknallt. Leider sozial unverträglich und wird daher nicht monetär unterstützt.
Aber das Projekt an sich ist topp. Erschlägt viele Probleme auf einmal.
Im englischen Artikel stand „yelling racist slurs“, pöbeln klingt hier zu harmlos.
Mir kommt ein neuer Saugroboter nur noch ins Haus, wenn er völlig lokal läuft.
Dann wirst du wohl lange warten müssen…
Oder du stellst einfach in deine Fritze ein das der nicht nach Hause funken kann.
Hab ich im pihole versucht beim dreame, dann ging garnichts mehr
Ich finde die Saugroboter klasse, aber würde mir aus solchen, paranoiden, Gründen nie die Modelle mit Kamera kaufen.
Ich hab mich nicht umsonst für einen Roboter ohne Kamera entschieden. Das bestärkt meine Entscheidung nun.
auch ohne Cloud-Anbindung? Denn es scheint, daß nicht die Kamera sondern die Cloud das Problem ist.
Korrekt aber am wenn es doch passiert, dann fahren die bekloppten wenigstens nicht sehenden Auges durch deine Räume. Macht schon einen Riesen unterschied!
Die Kamera war ein Problem, steht auf einer anderen Seite sehr ausführlich.
Umsonst wär aber blöd. Wozu hastest den dann?
etw. nicht umsonst tun == etw. nicht ohne Grund tun
Hilft?
Ich dachte, das wäre nicht so schlimm, da wir doch nichts zu verbergen haben, oder? ;-)
Ich vermute auch es waren Kids. Dennoch zeigt dieses Beispiel wie einfach so etwas geht. Theoretisch könnte jemand darüber auch Alexa Geräte steuern, zum Beispiel die Tür öffnen oder etwas bestellen. In diesem Beispiel ist der Schaden gering. Hätte aber auch schlimmer kommen können.
Mein Saugrobotter bekommt auch immer Tourette wenn hier zu viel Krempel rumliegt. ;-)
Bei uns zuhause kriegt nicht nur er Tourette wenn zu viel rumliegt :-D
Deine Frau als Saugroboter zu bezeichnen ist aber nicht nett, pfui.
Ich check’s nicht so ganz. Es wird von einem Hacker-Angriff gesprochen, aber in der Stellungnahme geht es um entwendete Accountinformationen von anderen Webseiten…?
In den Führungsetagen und in der deutschen Politik ist das alles das gleiche und die stellen sich vor wie ein bleicher junger Mann nachts während es regnet mit baseballcap und Sonnenbrille sich einhackt und dabei Würfel und andere „Hackerbildchen“ auf dem Bildschirm sind…
Die freuden des Smarthomes – neben des Elektronikschrotts durch abgeschaltene Clouddienste
Da fällt mir spontan der Hackerangriff auf den Fernseher einer NRW Ministerin ein. Nachdem sich wochenlang die halbe Welt empörte stellte sich heraus, dass es kein Hacker war, sondern eine Fehlbedienung durch ein Familienmitglied.
Wenn’s nicht mehr „smart“ ist… Ist das die Strafe der totalen Trägheit?
In Springfield, Ohio sollen ausländische Staubsaugerroboter sogar Haustiere aufgegessen haben…
Außer an Kameras gehört an kein Gerät eine Kamera :-)
Also wenn es kein Hack sondern geklaute Account-Infos waren, dann gehört diese Meldung relativ wahrscheinlich zur der Anti-China-Propaganda für die der US-Kongress erst vor zwei Wochen US$ 1,6 Milliarden bereitgestellt hat… wie so etwas läuft kann man sich anhand des Reuters-Berichts „Pentagon ran secret anti-vax campaign to undermine China during pandemic“ anschauen.
Wahrscheinlich hören wir in naher Zukunft dann, dass die China-Robots eine Gefahr für die nationale Sicherheit darstellen und daher mit 100% Zöllen versehen werden… (wie allerdings eine Preiserhöhung der nat. Sicherheit helfen soll, kann dann keiner erklären aber hey).
spannender Reuters Artikel!