Aktuelles, Branche - geschrieben von dp am Donnerstag, August 6, 2020 19:37 - noch keine Kommentare
Schwachstellen erlauben es, Hausroboter auszutricksen
McAfee warnt vor Missbrauch – Cyber-Kriminelle könnten ohne jegliche Authentifizierung Hausroboter übernehmen
[datensicherheit.de, 06.08.2020] Gerade jetzt, in der „Corona“-Krise spielen b offenbar „eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern“. Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern profitieren. Einer dieser Hausroboter ist „Temi“ von der US-amerikanischen Firma Robotemi. Forschern von McAfee ist es nun nach eigenen Angaben gelungen, bestimmte Schwachstellen auszunutzen und diesen dadurch „auszutricksen“. Diese Ergebnisse zeigten auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie sei. McAfee steht demnach vor dem Hintergrund seiner „Disclosure Policy“ in Kontakt mit Robotemi, um gemeinsam die Sicherheit dieses Hausroboters zu verbessern.

Abbildung: McAfee
McAfee-Blogartikel „Call an Exorcist! My Robot’s Possessed!“
Einsatz von Hausrobotern keine Science-Fiction-Vorstellung mehr
Der Einsatz von Hausrobotern ist laut McAfee schon lange keine Science-Fiction-Vorstellung mehr: Gerade im Zuge von „Covid-19“ spielten diese eine immer größere Rolle, um „Social Distancing“-Maßnahmen zu erleichtern.
Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeit-Lieferungen übernähmen, profitieren – denn je weniger persönlicher Kontakt desto geringer das Infektionsrisiko.
Hausroboter „Temi“ wird aktuell zu 1.000 Exemplaren pro Monat produziert
Einer dieser Hausroboter, der von der US-amerikanischen Firma Robotemi entwickelt „Temi“, werde aktuell in der Größenordnung von 1.000 Exemplaren pro Monat produziert.
Forschern von McAfee sei es nun gelungen, bestimmte Schwachstellen im „Temi“-Roboter auszunutzen und diesen dadurch „auszutricksen“. Die Forscher konnten sich demnach „in ,Calls‘ einwählen, Zugang zur Videoaufnahme des Hausroboters verschaffen und ,Temi‘ sogar aus der Ferne steuern – ohne jegliche Authentifizierung“.
Übernahme des Hausroboters durch Änderungen an „Temi“-eigenen „Android“-App
Dem Forscher-Team sei die Übernahme des Hausroboters gelungen, indem sie Änderungen an der „Temi“-eigenen „Android“-App vorgenommen hätten:
„Dadurch konnten sie sich Zugang zu ,Calls‘ des Hausroboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen, die ,Trust Settings‘ zu überschreiben, wodurch sie ,Temi‘ von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.“
Hausroboter-Schwachstelle: Lediglich Telefonnummer einer der Benutzer nötig
Um die „Call“-Schwachstelle auszunutzen, bedürfe es lediglich der Telefonnummer einer der Benutzer von „Temi“ – es müsse nicht mal die des Besitzers sein.
Wird die Schwachstelle mit der „Brute Force“-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigten potenzielle Angreifer theoretisch nicht mal eine Telefonnummer.
Vielfältige IoT-Fähigkeiten des Hausroboters bieten große Angriffsfläche
Durch seine vielzähligen IoT-Fähigkeiten biete „Temi“ also eine große Angriffsfläche für Cyber-Kriminelle. Das sei besonders schwerwiegend, denn „Temi“ werde aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt.
Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Hausroboter verschaffen können, so gelangten sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Weitere Informationen zum Thema:
McAfee, Mark Bereza, 05.08.2020
Call an Exorcist! My Robot’s Possessed!
datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT
Aktuelles, Experten - Apr. 19, 2025 0:55 - noch keine Kommentare
Latenzarmes Industrial IoT entscheidend für Erfolg smarter Industrie
weitere Beiträge in Experten
- MITRE CVE Program: Abschaltung verhindert
- KI-Training mit persönlichen Daten: Meta startet im Mai 2025
- Beziehungsende: Jeder Achte verabschiedet sich mit Ghosting
- eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA
- Der Web-Tatort: Cyber-Mobbing kann junge Menschen krank machen
Aktuelles, Branche, Studien - Apr. 20, 2025 0:40 - noch keine Kommentare
Ransomware-Angriffe: Neue Studie zeigt alarmierendes Ausmaß
weitere Beiträge in Branche
- Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt
- Cyber-Sicherheitsanforderungen für Geräte mit Funkschnittstellen: RED II für alle Hersteller ab August 2025 Pflicht
- MITRE CVE Program: Abschaltung verhindert
- MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
- DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren