Gehackte Rasenmähroboter können Menschen angreifen
Rasenmähroboter sind in Gärten heute allgegenwärtig. Und wie so oft, wenn sich eine Geräteklasse schnell verbreitet, bleibt die Sicherheit manchmal im Hintergrund. So etwa bei Yarbo, einem Hersteller modularer Gartenroboter.
Wie ein Bericht von The Verge unter Berufung auf den Sicherheitsforscher Andreas Makris zeigt, war es möglich, über das Internet die vollständige Kontrolle über fremde Geräte zu erlangen. Makris demonstrierte, dass er nicht nur Zugriff auf Daten hatte, sondern die schweren Maschinen aus der Ferne steuern konnte. „Ich kann mit all den Robotern machen, was ich will“, sagte Makris gegenüber The Verge. „Es ist völlig ungesichert.“
Vom Mähroboter überfahren
Dabei gelang es ihm, 11.000 Mähroboter weltweit zu lokalisieren und deren Funktionen zu manipulieren, ohne dass die rechtmäßigen Besitzer das mitbekommen haben. Durch die Lücke hätten Angreifer die Möglichkeit gehabt, die Sicherheitsprotokolle zu umgehen und die Geräte als ferngesteuerte Werkzeuge für Sachbeschädigungen oder physische Angriffe zu missbrauchen.
Die Risiken dieser Sicherheitslücke sind aufgrund der physischen Beschaffenheit der Hardware kritisch. Ein Mähroboter ist eine massive Maschine, die je nach Aufsatz mit rotierenden Messern ausgestattet ist. Um das Gefahrenpotenzial sichtbar zu machen, ließ sich Verge-Redakteur Sean Hollister von dem Gerät nahezu überfahren.
Der potenzielle Missbrauch geht aber noch viel weiter. Makris konnte E-Mail-Adressen der Hausbesitzer, ihre WLAN-Passwörter und die genauen GPS-Koordinaten ihrer Häuser abrufen. Sogar Zugriff auf die in den Mährobotern integrierten Kameras war möglich.
➤ Mehr lesen: IFA 2025: KI im Kühlschrank und Roboter am Rasen
Ungeschützte Zugangsdaten
Technisch gesehen basieren die Yarbo-Roboter auf einem Linux-System, das mit massiven Designfehlern behaftet ist. Makris erklärt, dass nicht nur jeder Yarbo-Roboter dasselbe fest codierte Root-Passwort hat, sondern dass sich Besitzer auch nicht durch die manuelle Festlegung eines besseren Passworts schützen können. Denn bei jedem Firmware-Update wurde das Root-Passwort einfach wieder zurückgesetzt. Der Remote-Zugriff dürfte vom Hersteller absichtlich eingebaut worden sein. Möglicherweise für den Kunden-Support.
Mittlerweile hat das Unternehmen reagiert und Besserung gelobt: Ein Update zur Behebung von Berechtigungsfehlern in der App-Kommunikation sei in Vorbereitung, zudem sollen Nutzer künftig Ferndiagnosen explizit zustimmen müssen und diese auch widerrufen können. Kritik an dem Unternehmen bleibt jedoch zurück, da die Lücke überhaupt erst gar nicht entstehen hätte dürfen.
Generell tritt Yarbo alles andere als vertrauenswürdig auf. Yarbo gibt an, seinen Hauptsitz in New York zu haben, auf der Kickstarter-Seite und der Website finden sich Fotos von schicken Büros in einem Hochhaus. Tatsächlich führt die Adresse aber zu einem einstöckigen Gebäude, in dem sich 2 Autopflegebetriebe, eine Versicherungsagentur und ein Etsy-Shop für Armbänder befinden. Tatsächlich steht hinter dem Unternehmen Hanyang Tech mit Sitz in Shenzhen, China.
Kommentare