Hacker haben die Kontrolle über Staubsaugerroboter übernommen. Die Geräte jagten Haustiere und beleidigten ihre Besitzer mit rassistischen Äußerungen.
In mehreren US-Städten haben Hacker die Kontrolle über Staubsaugerroboter der Marke Ecovacs übernommen. Wie „ABC News“ berichtet, nutzten die Angreifer eine bekannte Sicherheitslücke aus, um Zugriff auf die Geräte vom Typ Deebot X2 zu erlangen. Aus den Lautsprechern der Roboter ertönten rassistische Beleidigungen und obszöne Äußerungen, während die Geräte durch die Wohnungen fuhren.
Dem Bericht zufolge ereigneten sich die Vorfälle bereits zwischen Januar und Mai 2024 in verschiedenen Städten der USA. Betroffen waren unter anderem Haushalte in Minnesota, Los Angeles und El Paso. Die Hacker hätten die Saugroboter aus der Ferne gesteuert und nutzten dazu deren eingebaute Kameras und Mikrofone, heißt es.
Daniel Swenson, ein Anwalt aus Minnesota, berichtete „ABC News“ von seinen Erfahrungen. Er saß mit seiner Frau und seinem 13-jährigen Sohn auf der Couch, als sein Deebot X2 plötzlich seltsame Geräusche von sich gab. Zunächst klang es wie ein gestörtes Funksignal, doch dann wurden eindeutig rassistische Beleidigungen hörbar.
Swenson versuchte, das Problem durch Zurücksetzen des Passworts und einen Neustart des Geräts zu beheben. Doch der Roboter bewegte sich sofort wieder und die Beschimpfungen gingen weiter. Der Anwalt schaltete das Gerät schließlich aus und brachte es in die Garage.
Andere Betroffene berichteten von ähnlichen Erlebnissen. In Los Angeles jagte ein gehackter Saugroboter einen Hund, während er Hassreden von sich gab. In El Paso beleidigte ein Deebot seinen Besitzer mitten in der Nacht mit rassistischen Schimpfwörtern, bis dieser ihn vom Strom trennte.
Die Ursache für die Angriffe scheint eine kritische Sicherheitslücke im Deebot X2 zu sein. Diese ermöglicht es Unbefugten, die vierstellige Sicherheits-PIN zu umgehen und so die volle Kontrolle über das Gerät zu erlangen. Laut „ABC News“ hatten IT-Sicherheitsforscher Dennis Giese und Braelynn Luedtke diesen Fehler bereits im Dezember 2023 auf dem Chaos Communication Congress in Hamburg öffentlich gemacht.
Laut den Experten wird die PIN nur von der App geprüft, nicht aber vom Server oder dem Roboter selbst. Das bedeutet, dass jeder mit dem entsprechenden technischen Know-how die Prüfung aushebeln könne. Die Forscher hatten Ecovacs nach eigenen Angaben vor dem Problem gewarnt, bevor sie es öffentlich machten.
Ecovacs, der Hersteller des Deebot X2, hat die Vorfälle inzwischen bestätigt. Ein Unternehmenssprecher erklärte gegenüber „ABC News“, der Fehler sei mittlerweile behoben. Man habe Kunden per E-Mail angewiesen, ihre PIN zu ändern. Im November 2024 soll zudem ein zusätzliches Sicherheitsupdate für die X2-Serie herausgegeben werden.
IT-Sicherheitsexperten raten Nutzern von vernetzten Haushaltsgeräten zur Vorsicht. Sie empfehlen, regelmäßig Passwörter zu ändern und, wenn möglich, eine Zwei-Faktor-Authentifizierung zu nutzen. Zudem sollten Nutzer kritisch prüfen, welche Geräte tatsächlich eine Kamera oder ein Mikrofon benötigen.