Digital Life
21.07.2018

Hacker verwandeln Staubsaugerroboter in Spionagegerät

Sicherheitsforscher haben neue Lücken in Staubsaugerrobotern der Marke Dongguan Diqee entdeckt, die diese in Spionagegeräte umwandeln.

Die Entdeckungen von Sicherheitslücken rund um vernetzte Dinge reißen einfach nicht ab. Neben Kinder- und Erwachsenenspielzeug stehen auch Staubsaugerroboter besonders gerne im Visier der Forscher. Im Model Dongguan Diqee 360 wurden jetzt zwei Lücken entdeckt, die den Staubsaugroboter in ein Spionagegerät im gesamten Wifi-Netzwerk des Haushalts umwandeln können.

Zwei Lücken mit Superuser-Rechten

Der Dongguan Diqee 360 kann, wenn die erste Lücke ausgenutzt wird, etwa von Fremden verwendet und gesteuert und etwa auch für DDoS-Attacken oder das Schürfen von Bitcoins eingesetzt werden. Diebe müssten dazu lediglich die MAC-Adresse des Geräts rausfinden sowie Standard-Username und -passwort eingeben (admin:888888) und das Gerät authentifizieren, sofern die vom Kunden nicht geändert worden sind, heißt es in einem Bericht von „Threatpost“.

Die zweite Sicherheitslücke ermöglicht es Fremden ebenfalls, „Superuser“-Rechte zu erlange und auf Fotos oder E-Mails, die im selben Wifi-Netzwerk verschickt worden sind, zuzugreifen. Diese Lücke ist im Update-Mechanismus des Staubsaugerroboters versteckt.

Passwörter ändern

Gegenüber „Threatpost“ gab der chinesische Hersteller keine Auskünfte darüber, ob die beiden Sicherheitslücken behoben worden sind. Die Empfehlung des Herstellers: Nutzer sollen das Standardpasswort ändern. „Wenn man diese Daten ändert, ist der Angriff nicht mehr effektiv“, sagte der Pressesprecher des Herstellers.

Laut den Sicherheitsforschern von Positive Technologies, die die Lücke gefunden haben, gibt es die Lücken auch in anderen IoT-Geräten mit denselben Videomodulen wie beim Dongguan Diqee 360. Das können Outdoor-Überwachungskameras sein, DVRs oder smarte Türschlösser, so die Forscherin und Abteilungsleiterin Leigh-Anne Galloway.

Weitere Staubsaugerroboter betroffen

Der Staubsaugerroboter ist zudem nicht der erste, der gehackt worden war. Die Sicherheitsforscher von Check Point hatten vergangenes Jahr eine Lücke in der App „SmartThinQ“ von LG gefunden. Damit können User per Internetverbindung aus der Ferne auf ihre smarten Haushaltsgeräte zugreifen. Der Angreifer kann die App so manipulieren, dass er lediglich die E-Mail-Adresse eines Nutzers braucht, um auf dessen Geräte zugreifen zu können.