Aktuelles, Branche - geschrieben von dp am Donnerstag, August 6, 2020 19:37 - noch keine Kommentare
Schwachstellen erlauben es, Hausroboter auszutricksen
McAfee warnt vor Missbrauch – Cyber-Kriminelle könnten ohne jegliche Authentifizierung Hausroboter übernehmen
[datensicherheit.de, 06.08.2020] Gerade jetzt, in der „Corona“-Krise spielen b offenbar „eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern“. Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern profitieren. Einer dieser Hausroboter ist „Temi“ von der US-amerikanischen Firma Robotemi. Forschern von McAfee ist es nun nach eigenen Angaben gelungen, bestimmte Schwachstellen auszunutzen und diesen dadurch „auszutricksen“. Diese Ergebnisse zeigten auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie sei. McAfee steht demnach vor dem Hintergrund seiner „Disclosure Policy“ in Kontakt mit Robotemi, um gemeinsam die Sicherheit dieses Hausroboters zu verbessern.
McAfee-Blogartikel „Call an Exorcist! My Robot’s Possessed!“
Einsatz von Hausrobotern keine Science-Fiction-Vorstellung mehr
Der Einsatz von Hausrobotern ist laut McAfee schon lange keine Science-Fiction-Vorstellung mehr: Gerade im Zuge von „Covid-19“ spielten diese eine immer größere Rolle, um „Social Distancing“-Maßnahmen zu erleichtern.
Besonders Institutionen wie Pflege- oder Altenheime könnten jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeit-Lieferungen übernähmen, profitieren – denn je weniger persönlicher Kontakt desto geringer das Infektionsrisiko.
Hausroboter „Temi“ wird aktuell zu 1.000 Exemplaren pro Monat produziert
Einer dieser Hausroboter, der von der US-amerikanischen Firma Robotemi entwickelt „Temi“, werde aktuell in der Größenordnung von 1.000 Exemplaren pro Monat produziert.
Forschern von McAfee sei es nun gelungen, bestimmte Schwachstellen im „Temi“-Roboter auszunutzen und diesen dadurch „auszutricksen“. Die Forscher konnten sich demnach „in ,Calls‘ einwählen, Zugang zur Videoaufnahme des Hausroboters verschaffen und ,Temi‘ sogar aus der Ferne steuern – ohne jegliche Authentifizierung“.
Übernahme des Hausroboters durch Änderungen an „Temi“-eigenen „Android“-App
Dem Forscher-Team sei die Übernahme des Hausroboters gelungen, indem sie Änderungen an der „Temi“-eigenen „Android“-App vorgenommen hätten:
„Dadurch konnten sie sich Zugang zu ,Calls‘ des Hausroboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen, die ,Trust Settings‘ zu überschreiben, wodurch sie ,Temi‘ von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten.“
Hausroboter-Schwachstelle: Lediglich Telefonnummer einer der Benutzer nötig
Um die „Call“-Schwachstelle auszunutzen, bedürfe es lediglich der Telefonnummer einer der Benutzer von „Temi“ – es müsse nicht mal die des Besitzers sein.
Wird die Schwachstelle mit der „Brute Force“-Methode, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigten potenzielle Angreifer theoretisch nicht mal eine Telefonnummer.
Vielfältige IoT-Fähigkeiten des Hausroboters bieten große Angriffsfläche
Durch seine vielzähligen IoT-Fähigkeiten biete „Temi“ also eine große Angriffsfläche für Cyber-Kriminelle. Das sei besonders schwerwiegend, denn „Temi“ werde aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt.
Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Hausroboter verschaffen können, so gelangten sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Weitere Informationen zum Thema:
McAfee, Mark Bereza, 05.08.2020
Call an Exorcist! My Robot’s Possessed!
datensicherheit.de, 31.07.2020
Home-Office: McAfee-Sicherheitstipps gegen Schatten-IT
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren