Security: Staubsauger sammelt neben Staub auch Daten über die Wohnung

Erst ein zerlegter Staubsauger enthüllt sein wahres Inneres. (Bild: dontvacuum.me)

Staubsauger-Roboter können mehr als nur saugen, manchmal sogar zu viel. Zwei Vortragende auf der derzeit stattfindenden 34C3 Hacker-Konferenz haben bei einem Staubsauger des chinesischen Herstellers Xiaomi einen vollständig erstellten Wohnungsplan gefunden, der über WLAN übermittelt wird.

Daniel Puschina, Veröffentlicht am 30.12.2017

Security Chinese Tech

Es ist nicht das erste Mal, dass IoT-Geräte nach Hause kommunizieren, in diesem Fall erneut nach China. Auf der jährlichen Hackerkonferenz, der 34. Chaos Communication Congress (34C3), auf welcher derzeit noch bis heute Präsentationen zum Thema IT-Sicherheit gehalten werden, haben die Sicherheitsexperten Dennis Giese und Daniel Wegemer anhand des 300 Euro günstigen chinesischen Staubsauger “Mi Robot Vacuum” von der Firma Xiaomi gezeigt, dass dieser nicht nur Staub saugt, sondern nebenbei auch Daten der Wohnung sammelt. So ein Staubsauger-Roboter ist komplexer als man denkt und mit mehreren Sensoren ausgestattet, wie Laser-Distanz-Sensor, Wand-Sensor, Füllstands-Sensor, Ultraschall-Radar, Kollisions-Sensor, Kompass, Gyroskop und Beschleunigungssensor, Fallsensor, Geschwindigkeitsmesser und Sensor zur Überwachung der Lüfter-Drehzahl.

Der Staubsauger-Roboter "Mi Vacuum Cleaner" von Xiaomi.

Bei der Anzahl der Sensoren steht ein Staubsauger einem Smartphones um nichts nach.

Der Staubsauger läuft auf Ubuntu 14.04.3 und war laut den Experten gut abgesichert, er besitzt keine unnötigen offenen Ports und auch die Debugging-Funktion ist ausreichend geschützt. Dementsprechend schwer war es, diesen zu knacken. Geschafft haben dies Dennis Giese und Daniel Wegemer dann letztendlich mit einem Stück Alufolie, die sie unter dem Chip positioniert haben, damit dieser keine brauchbaren Daten mehr erhielt und so in den Notfallmodus verfiel. Diese Gelegenheit konnte genutzt werden, um eine eigene Software zu installieren, die den Staubsauger ausspionieren konnte.

Die beiden Sicherheitsexperten fanden dabei heraus, dass der Staubsauger-Roboter neben Daten zum Nutzungsverhalten auch den Grundriss der Wohnung aufzeichnet und diese an den Server des Herstellers übermittelt. Zudem speichert das Gerät diese Daten in Logfiles, die sich auch nach mehrmaligen Versuchen nicht löschen ließen. Wird der Staubsauger beispielsweise weiterverkauft, übergibt man damit dem Käufer sozusagen den Wohnungsplan und sämtliche Nutzungsdaten.

Der Staubsauger zeichnet die Wohnung auf und übermittelt sie an den Hersteller.

Wer den Staubsauger-Roboter "Mi Vacuum Cleaner" von Xiaomi besitzt und diesen ebenfalls mal auf sein eigenes Risiko rooten möchte, findet hier eine Schritt-für-Schritt Anleitung im Github-Konto von Dennis Giese und Daniel Wegemer. Ein Öffnen des Geräts hierfür ist nicht erforderlich, es reicht das Installieren eines Firmwareupdates.

Quelle(n)

events.ccc.de/congress/2017/Fahrplan/events/9147.html
events.ccc.de/congress/2017/Fahrplan/system/event_attachments/attachments/000/003/367/original/34c3_Staubi-current_split_animation.pdf (PDF-Präsentation)
github.com/dgiese/dustcloud

Verwandte Artikel

Dreame Bot W10: Der Staub- und Wischroboter wird sogar getrocknet

Dreame Bot W10: Spannender Saug- und Wischroboter mit Selbstreinigung und Trocknung startet in China für 470 Euro 14.11.2021

Jetzt im Handel: iRobot Roomba e5 Saugroboter.

iRobot Roomba e5 Saugroboter jetzt erhältlich 28.09.2018

iRobot Roomba e5: Neuer smarter Saugroboter ab Ende September erhältlich.

iRobot Roomba e5 Saugroboter macht ab Ende September sauber 07.09.2018

Ecovacs zeigt auf der IFA seine Staubsaugroboter Deebot Ozmo Slim10, Deebot 710 und den Fensterputzer Winbot X.

Ecovacs Staubsaugroboter Deebot Ozmo Slim10, Deebot 710 und Fenstersauger Winbot X 03.09.2018

Staubsaugroboter: Neato stellt Botvac D6 und D4 Connected vor.

Neato Staubsaugroboter Botvac D4 Connected und D6 Connected 03.09.2018

iRobot Roomba: Wi-Fi-fähige Saugroboter ab sofort mit Google Assistant kompatibel 09.08.2018

Saugroboter Ecovacs Deebot mit Amazon Alexa kompatibel 30.07.2018

IoT: Z-Wave ist angreifbar, smarte Geräte lassen sich ausspionieren 29.05.2018

Security: Zehntausende Apple IDs mit Passwort im Klartext geleaked 21.05.2018

Security: Malware im Ubuntu Snap Store gefunden 13.05.2018

Security: Chrome-Erweiterung infiziert über 100.000 Nutzer, auch in sicheren Netzwerken (Symbolfoto)

Security: Chrome-Erweiterung infiziert über 100.000 Nutzer, auch in sicheren Netzwerken 11.05.2018

Speziell manipulierter USB-Stick bringt Computer zum Absturz (Symbolfoto)

Speziell manipulierter USB-Stick bringt Computer zum Absturz 01.05.2018

Missratene IT-Umstellung: Bankkunden ausgesperrt, Überweisung von fremden Konten möglich 29.04.2018

Drupal: Patch schließt Lücke nur unzureichend, Neuinstallation empfohlen 26.04.2018

Crossrider: Neue Adware beißt sich in macOS fest 25.04.2018

µTorrent ist für Microsoft nun unerwünscht 19.04.2018

Android-Apps sind voller vertraulicher Entwickler-Infos (Symbolfoto)

Android-Apps sind voller vertraulicher Entwickler-Infos 16.04.2018

Intel rät zur Abschaltung von Remote Keyboard 06.04.2018

Security: BSI warnt vor Lücke in Windows Defender

Security: BSI warnt vor Lücke im Windows Defender 06.04.2018

Security: macOS speichert APFS-Passwörter unverschlüsselt (Symbolfoto)

Security: macOS speichert APFS-Passwörter unverschlüsselt 22.03.2018

Security: iPhone ist mit Hardware einfach knackbar (Symbolfoto)

Security: iPhone ist mit Hardware einfach knackbar 16.03.2018

Security: Krypto-Malware schaltet Konkurrenz aus 13.03.2018

Business: McAfee kauft VPN-Anbieter 12.03.2018

Türkei: Provider ersetzt Download von Software durch Malware 10.03.2018

Security: GitHub von neuartiger, schwerer DDoS-Attacke betroffen (Symbolfoto)

Security: GitHub von neuartiger, schwerer DDoS-Attacke betroffen 02.03.2018

Botnetz: IoT-Geräte werden zu Proxys (Symbolfoto)

Botnetz: IoT-Geräte werden zu Proxys 28.02.2018

Flight Sim Labs: Addon-Anbieter stahl Passwörter von Raubkopieren 19.02.2018

Kamera-Spione: Jeder Vierte fürchtet heimlich beobachtet zu werden 16.02.2018

Telegram: Sicherheitslücke wurde seit einem Jahr ausgenutzt (Symbolfoto)

Telegram: Sicherheitslücke wurde seit einem Jahr ausgenutzt 13.02.2018

Microsoft lässt gravierende Sicherheitslücke in Skype (vorerst) ungepatcht 13.02.2018

Keine Gegenwehr möglich: macOS-Programme können unbemerkt Screenshots erstellen Bild: Apple

Keine Gegenwehr möglich: macOS-Programme können unbemerkt Screenshots erstellen 12.02.2018

Session Replay: Schadhafte Chrome-Erweiterungen zeichnen Tastatureingaben auf 02.02.2018

Security: Flash Player wird über ungepatchte Lücke attackiert 02.02.2018

Security: Lenovo Fingerprint Manager hatte Backdoor 26.01.2018

Electron: Framework hat Sicherheitslücke, zahlreiche Apps betroffen 24.01.2018

Security: Großangelegte Spionage-Aktion gegen Android-Nutzer aufgedeckt 20.01.2018

Botnetzwerk: Satori attackiert Miner von Kryptowährungen 19.01.2018

Statt Sicherheitspatch ist das Gegenteil der Fall.

Vorsicht: Fake-Mails vom BSI mit falschen Meltdown und Spectre-Patches 15.01.2018

Intel AMT: Notebooks lassen sich in 30 Sekunden übernehmen 14.01.2018

Security: Lenovo-Switches hatten seit 2004 Backdoor (Symbolfoto)

Security: Lenovo-Switches hatten seit 2004 Backdoor 14.01.2018

Microsofts Meltdown-Patches sollen AMD-Rechner zerstören, Updates vorerst gestoppt 09.01.2018

CPU-Sicherheitslücken: Doch nahezu alle Hersteller betroffen - die Fakten 04.01.2018

IOHIDeous: Alte macOS-Sicherheitslücke erlaubt Systemübernahme 02.01.2018

QBoat Sunny: Günstiger IoT-Server (auch) für Bastler 12.12.2017

Security: HP-Notebooks hatten Keylogger an Board 11.12.2017

Security: StorageCrypt attackiert NAS-Systeme 07.12.2017

Security: Gefährliches Botnetzwerk lahmgelegt 04.12.2017

Security: Homeland Security behauptet DJI-Dronen würden für China spionieren 01.12.2017

Security: Schweres Datenleck bei Leihradanbieter oBike 01.12.2017

Security: 68 Prozent mehr mobile Cyberangriffe seit September 2014 30.11.2017

Vorsicht, diese Tastatur zeichnet Tastenanschläge auf.

Security: MantisTek GK2 Tastatur mit eingebautem Gratis-Keylogger 07.11.2017

Security: Neues IoT-Botnetzwerk breitet sich aus 22.10.2017

IoT: Samsung Connect Tag ist ein universeller, mobiler Tracker 16.10.2017

Audiotreiber: HP reagiert und entfernt Keylogger 12.05.2017

BrickerBot: Malware zerstört IoT-Geräte 08.04.2017

Amazons Alexa steuert beispielsweise auch Smart-Home-Geräte. (Foto: Amazon)

IoT: Sprachsteuerung und immer jüngere Zielgruppen 10.01.2017

Intel: Mit IoT-Plattform mittendrin statt nur dabei im Internet der Dinge 10.12.2014

Alle 2 Beträge lesen / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

Xiaomi: Smarter Lautsprecher mit Co...

Tacotron 2: Neue, menschenähnliche ...

Daniel Puschina - Tech Writer - 341 Artikel auf Notebookcheck veröffentlicht seit 2017

Ich bin die Generation, die in den 90er Jahren auf einem 386er mit der 20MHz Turbotaste die ersten Computer-Erfahrungen gesammelt hat. Es war eine Gratwanderung zwischen der Leistungsgrenze meines Rechners und dem knappen Taschengeld, umso größer war aber dadurch die Motivation, das letzte Stück Leistung hier noch rauszuholen. Das Herauskitzeln eines einzelnen Kilobytes in der config.sys Datei war bei 2MB RAM absolut bestimmend über „Spiel startet“ oder „Spiel startet nicht“. Ab diesem Zeitpunkt habe ich auch damit begonnen, mich hardwareseitig immer eingehender mit Benchmarktests, Leistungsvergleiche und Tuning der Komponenten zu beschäftigen, was mich in den letzten Jahren zum Dauerbesucher der Notebookcheck-Seite machte. Es ist mir somit eine große Freude, hier nun selbst aktiv für diese Seite schreiben und testen zu können.

Kontakt: LinkedIn

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2017-12 > Security: Staubsauger sammelt neben Staub auch Daten über die Wohnung

Autor: Daniel Puschina, 30.12.2017 (Update: 30.12.2017)