Aktuelles, Branche - geschrieben von dp am Donnerstag, August 6, 2020 19:37 - noch keine Kommentare
Schwachstellen erlauben es, Hausroboter auszutricksen
McAfee warnt vor Missbrauch – Cyber-Kriminelle könnten ohne jegliche Authentifizierung Hausroboter übernehmen
[datensicherheit.de, 06.08.2020] Gerade jetzt, in der „Corona“-Krise spielen b offenbar „eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern“. Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern profitieren. Einer dieser Hausroboter ist „Temi“ von der US-amerikanischen Firma Robotemi. Forschern von McAfee ist es nun nach eigenen Angaben gelungen, bestimmte Schwachstellen auszunutzen und diesen dadurch „auszutricksen“. Diese Ergebnisse zeigten auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie sei. McAfee steht demnach vor dem Hintergrund seiner „Disclosure Policy“ in Kontakt mit Robotemi, um gemeinsam die Sicherheit dieses Hausroboters zu verbessern.
McAfee-Blogartikel „Call an Exorcist! My Robot’s Possessed!“
Einsatz von Hausrobotern keine Science-Fiction-Vorstellung mehr
Der Einsatz von Hausrobotern ist laut McAfee schon lange keine Science-Fiction-Vorstellung mehr: Gerade im Zuge von „Covid-19“ spielten diese eine immer größere Rolle, um „Social Distancing“-Maßnahmen zu erleichtern.
Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeit-Lieferungen übernähmen, profitieren – denn je weniger persönlicher Kontakt desto geringer das Infektionsrisiko.
Hausroboter „Temi“ wird aktuell zu 1.000 Exemplaren pro Monat produziert
Einer dieser Hausroboter, der von der US-amerikanischen Firma Robotemi entwickelt „Temi“, werde aktuell in der Größenordnung von 1.000 Exemplaren pro Monat produziert.
Forschern von McAfee sei es nun gelungen, bestimmte Schwachstellen im „Temi“-Roboter auszunutzen und diesen dadurch „auszutricksen“. Die Forscher konnten sich demnach „in ,Calls‘ einwählen, Zugang zur Videoaufnahme des Hausroboters verschaffen und ,Temi‘ sogar aus der Ferne steuern – ohne jegliche Authentifizierung“.
Übernahme des Hausroboters durch Änderungen an „Temi“-eigenen „Android“-App
Dem Forscher-Team sei die Übernahme des Hausroboters gelungen, indem sie Änderungen an der „Temi“-eigenen „Android“-App vorgenommen hätten:
„Dadurch konnten sie sich Zugang zu ,Calls‘ des Hausroboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen, die ,Trust Settings‘ zu überschreiben, wodurch sie ,Temi‘ von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.“
Hausroboter-Schwachstelle: Lediglich Telefonnummer einer der Benutzer nötig
Um die „Call“-Schwachstelle auszunutzen, bedürfe es lediglich der Telefonnummer einer der Benutzer von „Temi“ – es müsse nicht mal die des Besitzers sein.
Wird die Schwachstelle mit der „Brute Force“-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigten potenzielle Angreifer theoretisch nicht mal eine Telefonnummer.
Vielfältige IoT-Fähigkeiten des Hausroboters bieten große Angriffsfläche
Durch seine vielzähligen IoT-Fähigkeiten biete „Temi“ also eine große Angriffsfläche für Cyber-Kriminelle. Das sei besonders schwerwiegend, denn „Temi“ werde aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt.
Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Hausroboter verschaffen können, so gelangten sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Weitere Informationen zum Thema:
McAfee, Mark Bereza, 05.08.2020
Call an Exorcist! My Robot’s Possessed!
datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT
Aktuelles, Experten - Mrz 28, 2024 11:04 - noch keine Kommentare
Orientierung für Privatanwender: T-Sicherheitskennzeichen des BSI für Videokonferenz-Dienste
weitere Beiträge in Experten
- 5G-Campusnetze: TeleTrusT veröffentlichte Handreichung zur IT-Sicherheit
- Cyber-Sicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf
- CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU
- eco-Kommentar zum Digitale-Dienste-Gesetz: DDG wichtiger Schritt zur Rechtssicherheit für Unternehmen und Verbraucher
- BKA-Mitteilung zum Nemesis Market: Illegaler Darknet-Marktplatz mit über 150.000 Nutzern aufgeflogen
Aktuelles, Branche, Studien - Mrz 28, 2024 11:15 - noch keine Kommentare
Status Quo zusätzlicher Datensicherung: ExpressVPN-Umfrage zum World Backup Day 2024
weitere Beiträge in Branche
- Bernard Montel kommentiert World Backup Day 2024:
- World Backup Day 2024: Backup für Cyber-Sicherheit notwendig, aber noch nicht hinreichend
- Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr
- Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace
- Weinprobe als Köder: Cyber-Spionage nahm EU-Diplomaten ins Visier
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren