Der Einsatz von Hausrobotern ist schon lange keine Science-Fiction-Vorstellung mehr und gerade im Zuge von Covid-19 spielen Roboter eine immer größere Rolle, um Social-Distancing-Maßnahmen zu erleichtern. Besonders Institutionen wie Pflege- oder Altenheime können jetzt von Hausrobotern, die Tätigkeiten wie Mahlzeitlieferungen übernehmen, profitieren – denn umso weniger persönlicher Kontakt besteht, umso geringer bleibt das Infektionsrisiko.
Einer dieser Hausroboter ist Temi, der von der US-amerikanischen Firma Robotemi entwickelt wurde. Aktuell werden ungefähr 1.000 Temi-Roboter pro Monat produziert. Forschern von McAfee ist es nun gelungen bestimmte Schwachstellen im Temi-Roboter auszunutzen und diesen dadurch auszutricksen. Die Forscher konnten sich in Calls einwählen, Zugang zur Videoaufnahme des Roboters verschaffen und Temi sogar aus der Ferne steuern – ohne jegliche Authentifizierung.
Dem Forscher-Team gelang es den Roboter auszutricksen, indem sie Änderungen an der Temi-Android-App vornahmen. Dadurch konnten sie sich Zugang zu Calls des Roboters verschaffen, die eigentlich für andere Nutzer bestimmt waren. Gleichzeitig gelang es ihnen die Trust Settings zu überschreiben, wodurch sie Temi von der Ferne aus steuern und Kamera und Mikrophon bedienen konnten. Um die Call-Schwachstelle auszunutzen, bedarf es lediglich der Telefonnummer einer der Benutzer von Temi – es muss nicht mal die des Besitzers sein. Wird die Schwachstelle mit der „Brute Force Methode“, also dem wahllosen Ausprobieren und Testen von Passwörtern, ausgenutzt, so benötigen potentielle Angreifer theoretisch nicht mal eine Telefonnummer.
Durch seine vielzähligen IoT-Fähigkeiten bietet Temi also eine große Angriffsfläche für Cyber-Kriminelle. Das ist besonders schwerwiegend, denn Temi wird aktuell hauptsächlich in privaten Haushalten, gesundheitlichen Einrichtungen, Arztpraxen und Pflegeheimen eingesetzt. Sollten Angreifer sich in diesem Umfeld also Zugriff auf den Roboter verschaffen können, so gelangen sie leicht an sensible Informationen, wie zum Beispiel Gesundheitsdaten.
Die Ergebnisse zeigen auf, wie wichtig die Zusammenarbeit von Sicherheitsforschern und der Industrie ist. McAfee steht vor dem Hintergrund seiner Disclosure-Policy in Kontakt mit Robotemi, um gemeinsam die Sicherheit des Roboters zu verbessern.
Teaser-Video zur Forschung
Alle weiteren Informationen und einen detaillierten Einblick in die Vorgehensweise der Forscher und die Ergebnisse finden sich hier.
#McAfee
