Der Roboterstaubsauger flucht und beleidigt wegen Hackern: Unternehmen entschuldigt sich

Roboterstaubsauger, der beleidigt, flucht und rassistische und vulgäre Ausdrücke verwendet: Dies ist in den USA und aufgrund eines Hackerangriffs mehrfach vorgekommen. Alles geht auf die Geschichte zurück, die der Benutzer Daniel Swenson im sozialen Netzwerk Reddit gemacht hat, ein amerikanischer Staatsbürger, der eine wirklich beunruhigende Erfahrung gemacht hat. Während sein Sohn anwesend war, begann der Saugroboter beleidigende und diskriminierende Sätze von sich zu geben. Swenson war zunächst ungläubig und erkannte sofort, dass es sich um einen Hackerangriff handelte. „Ich hatte den Eindruck, er sei ein kleiner Junge“, sagte Swenson. „Vielleicht sind sie einfach von Gerät zu Gerät gesprungen und haben sich mit Familien angelegt.“

LESEN SIE DIE ANDEREN NEUGIERIGEN NACHRICHTEN

• Der Roboterstaubsauger flucht und beleidigt wegen Hackern: Unternehmen entschuldigt sich
• Der brillante chinesische Vater reist mit Drillingen im Zug und wird zum gesellschaftlichen Star
• Dua Lipa kreiert einen viralen Cocktail mit Diät-Cola und Gurke, Gordon Ramsey probiert ihn
• Älteres Paar verliert Kontrolle über Motorboot: Video des Unfalls geht viral
• Rekordverdächtiger Todestauchgang: Franzose stürzt sich von einer 44 Meter hohen Klippe

Swenson war über den Vorfall zwar verärgert, aber dennoch erleichtert, dass die Hacker ihre Anwesenheit so deutlich bekannt gegeben hatten. Ihm zufolge wäre es viel schlimmer gewesen, wenn sie beschlossen hätten, seine Familie still in ihrem Haus zu beobachten. Tatsächlich sind Roboterstaubsauger mit Kameras und Mikrofonen ausgestattet, mit denen man Menschen ausspionieren könnte, ohne dass sie es merken. „Es war ein Schock“, gab Swenson zu.

Der Roboterstaubsauger verfügt über Kameras und Lautsprecher

Obwohl sein Sohn den Ernst der Lage nicht ganz verstand, beschloss Swenson, alle notwendigen Vorsichtsmaßnahmen zu treffen. Er nahm den Roboterstaubsauger mit in die Garage und benutzte ihn nie wieder. Leider ist Swensons Fall kein Einzelfall. Mehrere Personen in den Vereinigten Staaten berichteten über ähnliche Vorfälle von Roboter-Staubsauger-Hacking innerhalb weniger Tage.

Am 24. Mai, am selben Tag wie der Angriff auf Swenson, begann ein Deebot X2, den Hund seines Besitzers durch das Haus zu jagen. Der Roboter wurde ferngesteuert und gab über Lautsprecher beleidigende Kommentare von sich. Einige Tage später wurde ein weiteres Gerät gehackt. Ein Ecovacs-Roboter in El Paso begann, seinen Besitzer mit rassistischen Beleidigungen zu beschimpfen, bis dieser ihn ausschaltete. Es ist unklar, wie viele Geräte des Unternehmens insgesamt gehackt wurden.

Sechs Monate vor den Angriffen hatten Sicherheitsforscher versucht, den Hersteller Ecovacs auf gravierende Schwachstellen in seinen Staubsaugerrobotern und der sie steuernden App zu informieren. Am schwerwiegendsten war ein Fehler im Bluetooth-Anschluss, der den vollständigen Zugriff auf den Ecovacs X2 aus über 100 Metern Entfernung ermöglichte. Auch das PIN-Code-System, das den Video-Feed und die Fernbedienungsfunktion des Roboters schützt, war bekanntermaßen fehlerhaft und der Warnton, der bei Beobachtung der Kamera ertönen soll, konnte aus der Ferne deaktiviert werden.

Ecovacs räumte eine Sicherheitslücke ein

Diese Sicherheitsprobleme könnten erklären, warum Hacker die Kontrolle über mehrere Roboter an verschiedenen Standorten übernahmen und ihre Opfer im Inneren stillschweigend überwachen konnten. In den Tagen nach Unfällen mit seinem Ecovacs-Roboterstaubsauger reichte Daniel Swenson eine Beschwerde beim Unternehmen ein. Nach einigen Gesprächen mit Supportmitarbeitern erhielt er einen Anruf von einem leitenden Mitarbeiter von Ecovacs in den USA. „Er musste drei oder vier Mal wiederholen, dass ich ein Video von dem haben sollte, was passiert ist“, sagte Swenson. „Jedes Mal sagte ich ihm: ‚Ja, das wäre großartig, aber ich konzentrierte mich mehr auf die Tatsache, dass ein gehackter Roboter mitten in meinem Wohnzimmer stand und uns beobachtete und uns vielleicht aufzeichnete.‘“

Laut Swenson schien der Angestellte nicht zu glauben, was er sagte, obwohl mehrere andere Eigentümer etwa zur gleichen Zeit ähnliche Angriffe meldeten. Nach diesem Telefonat wurde Swenson darüber informiert, dass eine „Sicherheitsuntersuchung“ durchgeführt worden sei. „Ihr Ecovacs-Konto und Ihr Passwort wurden von einer unbefugten Person erworben“, teilte ihm ein Unternehmensvertreter per E-Mail mit. Das Unternehmen gab außerdem an, die IP-Adresse des Täters identifiziert und deaktiviert zu haben, um weiteren Zugriff zu verhindern.

Es kam zu einem Einbruch in Privatkonten

In einer Folge-E-Mail teilten sie ihm mit, dass „eine hohe Wahrscheinlichkeit bestehe, dass Ihr Ecovacs-Konto von einem ‚Credential Stuffing‘-Cyberangriff betroffen sei“. Dies liegt vor, wenn jemand denselben Benutzernamen und dasselbe Passwort auf mehreren Websites wiederverwendet und die Kombination bei einem weiteren Cyberangriff gestohlen wird. Das Unternehmen teilte dem ABC mit, es habe „keine Beweise dafür gefunden“, dass die Konten durch „einen Verstoß gegen die Systeme von Ecovacs“ gehackt worden seien.

Selbst wenn Swenson auf anderen Websites denselben Benutzernamen und dasselbe Passwort verwendet hätte und diese Anmeldeinformationen online verbreitet worden wären, hätte das nicht ausreichen dürfen, um auf den Video-Feed zuzugreifen oder den Roboter fernzusteuern. Diese Funktionen sollten durch einen vierstelligen PIN-Code geschützt werden. Zwei Sicherheitsforscher enthüllten jedoch, dass es während einer Hacking-Konferenz im Dezember 2023 umgangen werden könnte.

Die Forscher hatten Ecovacs auf das Problem aufmerksam gemacht, bevor sie den Exploit öffentlich machten. Ein Ecovacs-Sprecher sagte, dieser Fehler sei inzwischen behoben, Giese teilte dem ABC jedoch mit, dass die Behebung des Unternehmens nicht ausreichte, um die Sicherheitslücke zu schließen. Der Sprecher sagte außerdem, das Unternehmen habe „eine prompte E-Mail gesendet“, in der Kunden aufgefordert wurden, nach dem Vorfall ihre Passwörter zu ändern. Ecovacs kündigte an, im November ein Sicherheitsupdate für Besitzer seiner X2-Serie zu veröffentlichen.