Aktuelles, Branche - geschrieben von dp am Donnerstag, August 6, 2020 19:37 - noch keine Kommentare
Schwachstellen erlauben es, Hausroboter auszutricksen
McAfee warnt vor Missbrauch – Cyber-Kriminelle könnten ohne jegliche Authentifizierung Hausroboter übernehmen
[datensicherheit.de, 06.08.2020] Gerade jetzt, in der „Corona“-Krise spielen b offenbar „eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern“. Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern profitieren. Einer dieser Hausroboter ist „Temi“ von der US-amerikanischen Firma Robotemi. Forschern von McAfee ist es nun nach eigenen Angaben gelungen, bestimmte Schwachstellen auszunutzen und diesen dadurch „auszutricksen“. Diese Ergebnisse zeigten auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie sei. McAfee steht demnach vor dem Hintergrund seiner „Disclosure Policy“ in Kontakt mit Robotemi, um gemeinsam die Sicherheit dieses Hausroboters zu verbessern.
McAfee-Blogartikel „Call an Exorcist! My Robot’s Possessed!“
Einsatz von Hausrobotern keine Science-Fiction-Vorstellung mehr
Der Einsatz von Hausrobotern ist laut McAfee schon lange keine Science-Fiction-Vorstellung mehr: Gerade im Zuge von „Covid-19“ spielten diese eine immer größere Rolle, um „Social Distancing“-Maßnahmen zu erleichtern.
Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeit-Lieferungen übernähmen, profitieren – denn je weniger persönlicher Kontakt desto geringer das Infektionsrisiko.
Hausroboter „Temi“ wird aktuell zu 1.000 Exemplaren pro Monat produziert
Einer dieser Hausroboter, der von der US-amerikanischen Firma Robotemi entwickelt „Temi“, werde aktuell in der Größenordnung von 1.000 Exemplaren pro Monat produziert.
Forschern von McAfee sei es nun gelungen, bestimmte Schwachstellen im „Temi“-Roboter auszunutzen und diesen dadurch „auszutricksen“. Die Forscher konnten sich demnach „in ,Calls‘ einwählen, Zugang zur Videoaufnahme des Hausroboters verschaffen und ,Temi‘ sogar aus der Ferne steuern – ohne jegliche Authentifizierung“.
Übernahme des Hausroboters durch Änderungen an „Temi“-eigenen „Android“-App
Dem Forscher-Team sei die Übernahme des Hausroboters gelungen, indem sie Änderungen an der „Temi“-eigenen „Android“-App vorgenommen hätten:
„Dadurch konnten sie sich Zugang zu ,Calls‘ des Hausroboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen, die ,Trust Settings‘ zu überschreiben, wodurch sie ,Temi‘ von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.“
Hausroboter-Schwachstelle: Lediglich Telefonnummer einer der Benutzer nötig
Um die „Call“-Schwachstelle auszunutzen, bedürfe es lediglich der Telefonnummer einer der Benutzer von „Temi“ – es müsse nicht mal die des Besitzers sein.
Wird die Schwachstelle mit der „Brute Force“-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigten potenzielle Angreifer theoretisch nicht mal eine Telefonnummer.
Vielfältige IoT-Fähigkeiten des Hausroboters bieten große Angriffsfläche
Durch seine vielzähligen IoT-Fähigkeiten biete „Temi“ also eine große Angriffsfläche für Cyber-Kriminelle. Das sei besonders schwerwiegend, denn „Temi“ werde aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt.
Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Hausroboter verschaffen können, so gelangten sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Weitere Informationen zum Thema:
McAfee, Mark Bereza, 05.08.2020
Call an Exorcist! My Robot’s Possessed!
datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren