DEF CON 31: Roboterstaubsauger leisten möglicherweise mehr, als sie behaupten

DEF CON 31: Roboterstaubsauger leisten möglicherweise mehr, als sie behaupten

Zeitstempel: 16. August 2023, 5:35 Uhr

Internet der Dinge, Datenschutz

Wenn es um den Datenschutz geht, bleibt es für einen Verbraucher kompliziert und nahezu unmöglich, eine fundierte Entscheidung zu treffen.

Toni Anscombe

Toni Anscombe

16 August 2023  •  , 3 Minute. lesen

DEF CON 31: Roboterstaubsauger leisten möglicherweise mehr, als sie behaupten

Eine Präsentation auf der DEF CON, 10 Uhr an einem Sonntagmorgen in Las Vegas. Meine Erwartung war, dass es so sein würde schlecht besucht sein – ich hätte mich nicht mehr irren können. Ein voller Saal begrüßte Dennis Giese, a renommierter Experte für das „Hacken“ von Roboterstaubsaugern. Das Thema der Präsentation war „How to“. Verhindern Sie, dass Ihr Roboterstaubsauger Daten an den Anbieter zurücksendet, eine Diskussion, die auf dem Datenschutz basiert und Sicherheit.

Letzten Monat mein Kollege Roman Cuprik veröffentlicht Ein Artikel auf WeLiveSecurity, in dem detailliert beschrieben wird, wie diese funktionieren Heimstaubsauger könnten ihre Besitzer ausspionieren, deshalb werde ich mich nicht auf das Unkraut einlassen Gehen Sie hier nicht auf potenzielle Probleme der Spionage ein, sondern besprechen Sie lieber die herausragenden Teile von Dennis‘ hervorragend dargebotenem Werk Präsentation.

Der von Dennis geleitete Forscher hatte ein einfaches Ziel: Könnten sie das Zielgerät ohne rooten? es zerlegen? Das Rooten des Geräts bedeutet vereinfacht ausgedrückt, Zugriff auf das zugrunde liegende Gerät zu erhalten Software, mit der das Gerät gesteuert und möglicherweise modifiziert wird. Im aktuellen Fall entsteht dadurch ein Die Möglichkeit besteht nicht darin, das Gerät unbrauchbar zu machen, sondern vielmehr darin, die Software zu ändern, um dies zu verhindern um personenbezogene Daten weiterzugeben und dem Eigentümer die endgültige Kontrolle zurückzugeben.

Ein Wortspiel 

Ich gehe an dieser Stelle davon aus, dass Sie entweder schlau genug sind, Romans Artikel gelesen zu haben, oder dass Sie Beherrschen Sie die Datenschutzprobleme, z. B. Roboterstaubsauger mit Kameras, die Bilder an den Computer zurücksenden die Cloud-Server des Anbieters und identifiziert so möglicherweise alle Dinge, die Sie in Ihrem Zuhause haben.

Eines der von Dennis hervorgehobenen Probleme besteht darin, dass die Behauptungen der Anbieter möglicherweise nicht mit der Realität übereinstimmen: zum Beispiel einer Das in der Präsentation genannte Unternehmen gibt an, keine Daten zurück in die Cloud zu senden, dies aber nie Daten dupliziert und dass die Kameras seiner Geräte nur dazu dienen, Objekte in Ihrem Zuhause zu schützen vor Kollisionen. Das klingt machbar, aber eine weitere Funktion, die für dasselbe Gerät aufgeführt ist, ist, dass dies möglich ist Greifen Sie aus der Ferne auf die Kamera zu und beobachten Sie, wie das Gerät funktioniert. Wie machen sie das also, wenn das Bild bzw Der Videostream wird nicht über die Cloud-Server des Unternehmens geteilt, die die Funktionalität bereitstellen. Vielleicht ist da echte Zauberei im Spiel.

Ein weiteres in der Präsentation angesprochenes Problem betraf die Formulierungen, die Unternehmen zur Beschreibung verwendeten Funktionalität und Merkmale der Produkte. Aufgrund der schlechten Presse in den letzten Jahren zu Geräten mit Kameras darauf, und vor allem die Möglichkeit des Missbrauchs, haben angeblich einige Hersteller entfernte Kameras; In der Dokumentation heißt es stattdessen, dass ihre Geräte „optische Sensoren“ verwenden. Das ist gerecht ein Wortspiel; Es handelt sich natürlich um Kameras, und das wurde in der Präsentation gezeigt Sie sind in der Lage, Bilder aufzunehmen: es sind Kameras.

Die Präsentation ging auf weitere Details und Beispiele ein, die alle ebenso schockierend waren; es auch betonte, dass viele der getesteten Geräte Datenschutz- und Sicherheitsprobleme aufwiesen zertifiziert von einigen renommierten Prüflabors; Als Beispiele für Zertifizierungsbehörden wurden a anerkannte deutsche Prüfstelle und im weiteren Sinne die Zertifizierung von Geräten durch die Europäische Union.

Aussagen versus Realität 

In Romans Blogbeitrag empfiehlt er, die Geräte vor dem Kauf zu untersuchen, was ich voll und ganz befürworte Ich stimme in den meisten Fällen zu, wenn ich mir diese Präsentation auf der DEF CON nicht angehört hätte. Es ist klar, dass während Die Sicherheit habe sich in der Firmware und im Betrieb dieser Staubsammelgeräte verbessert, heißt es weiter kompliziert und für einen Verbraucher nahezu unmöglich, eine fundierte Entscheidung zu treffen.

Ein Gerät, das angibt, dass es keine Daten an die Cloud weitergibt, über keine integrierten Kameras verfügt und zertifiziert ist für Sicherheit und Datenschutz von weithin anerkannten Testlabors scheinen alle Anforderungen zu erfüllen eines datenschutzbewussten Verbrauchers; In Wirklichkeit passiert jedoch möglicherweise das, was unter der Haube passiert ganz anders. In der Präsentation ging es nicht um einen Hersteller oder ein Modell, sondern um eine Auflistung zahlreiche Fälle von beidem. Bis Klarheit herrscht, bleibe ich dabei, meinen Handstaubsauger herumzuschieben Haus.

Ein letzter Kommentar – ein Lob an Dennis Giese für die tolle Präsentation an einem Sonntag Morgen in Vegas. Aber ich bitte Sie dringend, die Themen nicht der Öffentlichkeit preiszugeben und ihnen lieber zu folgen Branchenkoordinierte Offenlegungsstandards. Ich bin mir sicher, dass die Hersteller von Roboterstaubsaugern das tun würden Das wissen die meisten Verbraucher zu schätzen. Niemand möchte ein Gerät mit einer solchen Sicherheitslücke besitzen Es gibt keinen Patch, da die Offenlegung nicht den Best Practices der Branche entspricht.

Zeitstempel:

Mehr von Wir leben Sicherheit