Es klingt wie aus einem düsteren Science-Fiction-Film: Ein Haushaltsgerät, das eigentlich nur die Wohnung reinigen soll, wird zum Mittel für fremde Angriffe.
In den USA wurde genau das Realität, als mehrere Ecovacs-Saugroboter plötzlich rassistische Beleidigungen aussprachen und gleichzeitig heimlich die Wohnungen ihrer Nutzer filmten. Was zunächst wie ein Einzelfall wirkte, entpuppte sich schnell als ein größeres Problem.
Gehackte Saugroboter beschimpfen Nutzer und spioniert Wohnung aus
In den USA wurden zahlreiche Saugroboter des Modells Deebot X2 Omni von der chinesischen Firma Ecovacs Opfer von Hackerangriffen. Die Angreifer verschafften sich Zugriff auf die Kameras der Geräte und bewegten die Roboter ferngesteuert durch die Wohnungen der betroffenen Nutzer. Dabei nutzten sie die Sprachfunktion, um beleidigende und rassistische Kommentare von sich zu geben. Einem Nutzer, Daniel Swenson, erging es besonders schlimm, als er mit seiner Familie im Wohnzimmer saß und der Roboter plötzlich Geräusche von sich gab, die an eine gestörte Funkverbindung erinnerten.
#Sicherheitsrisiko #Staubsaugerroboter - warum "Premium" nicht "#Cybersecurity" bedeutet:
— @kenji@chaos.social (@Dennis_Kipker) October 8, 2024
"We hacked a robot vacuum — and could watch live through its camera
"His robot was vulnerable to being hacked from afar, and Ecovacs hadn’t done anything about it"https://t.co/MrIgH4X8CX pic.twitter.com/Y15NZon34L
Swenson öffnete die Steuerungs-App auf seinem Smartphone und stellte erschrocken fest, dass sich jemand in sein Gerät eingehackt hatte. Die Kamera des Roboters war aktiviert, und der Eindringling hatte die Kontrolle über das Gerät übernommen. Swenson reagierte schnell, indem er das Passwort seines Accounts änderte und das Gerät neu startete. Doch die Hacker waren nicht so einfach abzuschütteln – kurz darauf begann der Roboter, rassistische Beleidigungen auszustoßen. Swenson entschied sich schließlich, den Roboter abzuschalten und in die Garage zu verbannen.
Mehrere ähnliche Fälle
Swenson war nicht allein mit diesem beunruhigenden Erlebnis. Im Mai letzten Jahres berichteten zahlreiche US-Nutzer über ähnliche Vorfälle. Auch ihre Ecovacs-Roboter verhielten sich plötzlich aggressiv, indem sie die Wohnungen überwachten und unflätige Kommentare von sich gaben. In einem Fall wurde sogar ein Hund von dem Roboter verfolgt. Und das Problem scheint nicht nur die USA zu betreffen, wie ein Account X teilt. Dieser schreibt: "Die Roboterstaubsaugermarke Ecovacs, die auch in der Türkei tätig ist, wurde gehackt. Es wird berichtet, dass Roboterstaubsauger ihre Besitzer verfluchen." Dies postete der Account mit einem Beweis-Video:
Türkiye'de de faaliyet gösteren Ecovacs robot süpürge markası hacklendi.
— ???????? Komedya News (@komedyanews) October 13, 2024
Robot süpürgelerin sahiplerine küfürler yağdırdığı aktarılıyor. pic.twitter.com/zUlPw0IiJE
Besonders erschreckend: Viele Nutzer hätten ohne die lautstarken Beleidigungen der Hacker wohl gar nicht bemerkt, dass sie von fremden Personen durch die Kamera ihres Saugroboters beobachtet wurden. Swenson äußerte gegenüber dem Fernsehsender ABC News, dass er in gewisser Weise froh sei, dass die Hacker auf diese Weise auf sich aufmerksam gemacht hätten. Andernfalls hätte er möglicherweise viel länger nicht erkannt, dass seine Privatsphäre verletzt worden war.
Unzureichende Reaktionen des Herstellers
Als Swenson den Support von Ecovacs kontaktierte, stieß er zunächst auf wenig Verständnis. Mehrfach wurde er von den Mitarbeitern vertröstet, bevor er schließlich eine E-Mail erhielt, in der der Hersteller über einen "Sicherheitsvorfall" informierte. Ecovacs erklärte, dass die Hacker durch sogenanntes "Credential Stuffing" Zugriff auf fremde Accounts erlangt hätten. Dies ist möglich, wenn Nutzer dasselbe Passwort für mehrere Online-Dienste verwenden und diese Zugangsdaten durch frühere Hacks öffentlich geworden sind. Diese Erklärung ließ jedoch viele Fragen offen. Swenson hatte sein Passwort nach dem ersten Vorfall bereits geändert, und dennoch waren die Hacker erneut in der Lage, das Gerät zu übernehmen. Zudem ist der Zugriff auf die Kamera durch einen zusätzlichen PIN-Code gesichert. Unklar blieb auch, warum nur das Modell Deebot X2 Omni betroffen war und keine anderen Geräte.
Bekannte Sicherheitslücke
Bereits einige Monate vor diesen Vorfällen war auf dem Hackerkongress des Chaos Computer Clubs in Deutschland eine Schwachstelle in den Ecovacs-Saugrobotern aufgedeckt worden. Die Sicherheitsexperten Dennis Giese und Braelynn Luedtke hatten gezeigt, wie sich die Geräte übernehmen lassen und Ecovacs über das Problem informiert. Das Unternehmen nahm zwar daraufhin einige Anpassungen an den Sicherheitseinstellungen vor, doch laut den Experten waren diese Maßnahmen nicht ausreichend, um die Schwachstelle komplett zu schließen.
