Schwachstellen erlauben es, Hausroboter auszutricksen

McAfee warnt vor Missbrauch – Cyber-Kriminelle könnten ohne jegliche Authentifizierung Hausroboter übernehmen

[datensicherheit.de, 06.08.2020] Gerade jetzt, in der „Corona“-Krise spielen b offenbar „eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern“. Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern profitieren. Einer dieser Hausroboter ist „Temi“ von der US-amerikanischen Firma Robotemi. Forschern von McAfee ist es nun nach eigenen Angaben gelungen, bestimmte Schwachstellen auszunutzen und diesen dadurch „auszutricksen“. Diese Ergebnisse zeigten auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie sei. McAfee steht demnach vor dem Hintergrund seiner „Disclosure Policy“ in Kontakt mit Robotemi, um gemeinsam die Sicherheit dieses Hausroboters zu verbessern.

Abbildung: McAfee

McAfee-Blogartikel „Call an Exorcist! My Robot’s Possessed!“

Einsatz von Hausrobotern keine Science-Fiction-Vorstellung mehr

Der Einsatz von Hausrobotern ist laut McAfee schon lange keine Science-Fiction-Vorstellung mehr: Gerade im Zuge von „Covid-19“ spielten diese eine immer größere Rolle, um „Social Distancing“-Maßnahmen zu erleichtern.
Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeit-Lieferungen übernähmen, profitieren – denn je weniger persönlicher Kontakt desto geringer das Infektionsrisiko.

Hausroboter „Temi“ wird aktuell zu 1.000 Exemplaren pro Monat produziert

Einer dieser Hausroboter, der von der US-amerikanischen Firma Robotemi entwickelt „Temi“, werde aktuell in der Größenordnung von 1.000 Exemplaren pro Monat produziert.
Forschern von McAfee sei es nun gelungen, bestimmte Schwachstellen im „Temi“-Roboter auszunutzen und diesen dadurch „auszutricksen“. Die Forscher konnten sich demnach „in ,Calls‘ einwählen, Zugang zur Videoaufnahme des Hausroboters verschaffen und ,Temi‘ sogar aus der Ferne steuern – ohne jegliche Authentifizierung“.

Übernahme des Hausroboters durch Änderungen an „Temi“-eigenen „Android“-App

Dem Forscher-Team sei die Übernahme des Hausroboters gelungen, indem sie Änderungen an der „Temi“-eigenen „Android“-App vorgenommen hätten:
„Dadurch konnten sie sich Zugang zu ,Calls‘ des Hausroboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen, die ,Trust Settings‘ zu überschreiben, wodurch sie ,Temi‘ von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.“

Hausroboter-Schwachstelle: Lediglich Telefonnummer einer der Benutzer nötig

Um die „Call“-Schwachstelle auszunutzen, bedürfe es lediglich der Telefonnummer einer der Benutzer von „Temi“ – es müsse nicht mal die des Besitzers sein.
Wird die Schwachstelle mit der „Brute Force“-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigten potenzielle Angreifer theoretisch nicht mal eine Telefonnummer.

Vielfältige IoT-Fähigkeiten des Hausroboters bieten große Angriffsfläche

Durch seine vielzähligen IoT-Fähigkeiten biete „Temi“ also eine große Angriffsfläche für Cyber-Kriminelle. Das sei besonders schwerwiegend, denn „Temi“ werde aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt.
Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Hausroboter verschaffen können, so gelangten sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.

Weitere Informationen zum Thema:

McAfee, Mark Bereza, 05.08.2020
Call an Exorcist! My Robot’s Possessed!

datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT