Sicherheitslücken bei Temi
18.08.2020, 14:43 Uhr
Hausroboter lässt sich hijacken
Humanoide Heimroboter sollen das Leben erleichtern helfen, nicht zuletzt für ältere Menschen. Wie einfach sich ein solcher elektronischer Butler hacken lässt, haben Sicherheitsforscher von McAfee gezeigt.
Temi bietet eine grosse Angriffsfläche für Hacker
(Quelle: pd)
Menschen-ähnliche Heimroboter sind keine reine Science-Fiction-Erscheinung mehr und könnten künftig öfters in Haushalten und Heimen anzutreffen sein. Sicherheitsforscher von McAfee haben nun einen dieser Maschinenmenschen genauer unter die Lupe genommen und auf Schwachstellen abgeklopft.
Untersuchungsobjekt war der Hausroboter Temi, der von der US-amerikanischen Firma Robotemi entwickelt wird. Aktuell werden ungefähr 1000 Temi-Roboter pro Monat produziert.
Hijacking möglich
Die Sicherheitsspezialisten von McAfee ist es dabei gelungen, bestimmte Schwachstellen im Temi-Roboter auszunutzen und diesen dadurch auszutricksen. Die Forscher konnten sich in Anrufe einwählen, sie verschafften sich Zugang zur Videoaufnahme des Roboters, und es gelang ihnen sogar, Temi aus der Ferne zu steuern – ohne jegliche Authentifizierung.
Grundlage des Hacks der Sicherheitsforscher waren Änderungen an der Temi-Android-App, die sie vornehmen konnten. Dadurch konnten sie sich Zugang zu Calls des Roboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen die Trust Settings zu überschreiben, wodurch sie Temi von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.
Um die Call-Schwachstelle auszunutzen, bedarf es lediglich der Telefonnummer einer der Benutzer von Temi – es muss nicht mal die des Besitzers sein. Wird die Schwachstelle mit der «Brute Force»-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigen potentielle Angreifer theoretisch nicht mal eine Telefonnummer.
Grosse Angriffsfläche
Durch seine vielzähligen IoT-Fähigkeiten (Internet of Things) bietet Temi also eine grosse Angriffsfläche für Cyber-Kriminelle. Das ist besonders schwerwiegend, denn Temi wird aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt. Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Roboter verschaffen können, so gelangen sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Der vollständige Bericht der McAfee-Sicherheitsforscher findet sich hier.
