Mit dem Argument, KI-Modelle des Unternehmens zu trainieren, sammeln Ecovacs Saugroboter Fotos, Videos und Sprachaufnahmen der User.
Ecovacs Saugroboter sammeln Fotos, Videos und Sprachaufnahmen aus den Häusern und Wohnungen ihrer Besitzer. Ecovacs Robotik, das chinesische Unternehmen für Heimroboter, führte dazu aus, die Datensammlung zum Training von KI-Modellen des Unternehmens zu verwenden, keinesfalls jedoch für Spionagezwecke. Davon abgesehen traten im Unternehmen zudem gravierende Sicherheitsprobleme zutage.
Gemäß dem Hersteller Ecovacs Robotik würden die User völlig „freiwillig“ an einem Produktverbesserungsprogramm zum KI-Training teilnehmen. Irrtümer diesbezüglich beruhten lediglich darauf, ihre Allgemeinen Geschäftsbedingungen nicht richtig gelesen zu haben.
Versteckte AGBs lassen User über Ecovacs Saugroboter-Spionage im Unklaren
Wie Fudzilla berichtete, würde Usern der Ecovacs-Smartphone-App „nicht mitgeteilt, welche Daten erfasst werden, sondern nur, dass sie „uns dabei helfen, die Produktfunktionen und die damit verbundene Qualität weiter zu verbessern“. Benutzer werden angewiesen, auf „oben“ zu klicken, um die Einzelheiten zu lesen. Auf dieser Seite ist jedoch kein Link verfügbar“.
ABC.net weist darauf hin, dass die Datenschutzrichtlinie des Unternehmens die pauschale Erfassung von Benutzerdaten zu Forschungszwecken gestattet, einschließlich:
- Die vom Gerät generierte 2D- oder 3D-Karte des Hauses des Benutzers
- Sprachaufnahmen vom Mikrofon des Geräts
- Mit der Kamera des Geräts aufgenommene Fotos oder Videos
Zudem heißt es in der Datenschutzrichtlinie, dass „Sprachaufzeichnungen, Videos und Fotos, die über die App gelöscht werden, weiterhin von Ecovacs gespeichert und verwendet werden können“.
Aber auch kritische Mängel in der Cybersicherheit des Unternehmens ermöglichten es, einige Ecovacs-Modelle aus der Ferne zu hacken. Während der jüngsten Hackerkonferenz Def Con wiesen die Sicherheitsforscher Dennis Giese und Braelynn auf solche Schwachstellen in Staubsauger- und Rasenmäherrobotern von Ecovacs hin. Hacker könnten diese ausnutzen zum Ausspionieren ihrer Benutzer.
Sicherheitsforscher stufen Unternehmens-Sicherheit als schlecht ein
In einem Interview mit TechCrunch führte Gliese noch Anfang August aus: „Ihre Sicherheit war wirklich, wirklich, wirklich, wirklich schlecht“. Das Hauptproblem, liege in einer Schwachstelle, „die es jedem ermöglicht, sich mit einem Telefon aus einer Entfernung von bis zu 130 Metern per Bluetooth mit einem Ecovacs-Roboter zu verbinden und ihn zu übernehmen. Und sobald die Hacker die Kontrolle über das Gerät übernommen haben, können sie sich aus der Ferne darauf verbinden, da die Roboter selbst über WLAN mit dem Internet verbunden sind“. Gliese offenbart:
„Sie senden eine Nutzlast, die eine Sekunde dauert, und stellen dann eine Verbindung zu unserem Rechner her. So kann dieser zum Beispiel eine Verbindung zu einem Server im Internet herstellen. Von dort aus können wir den Roboter aus der Ferne steuern. Wir können die Wi-Fi-Anmeldedaten auslesen, wir können alle [gespeicherten Raum-]Karten auslesen. Das können wir, weil wir auf dem Linux-Betriebssystem des Roboters sitzen. Wir können auf Kameras, Mikrofone und so weiter zugreifen.“
Ecovacs Saugroboter dienen auch Hackern als Spione
Die Ausstattung der Ecovacs Saugroboter mit Kamera und Mikrofon ermöglicht es Hackern, diese als Spione einzusetzen. Haben sie einmal die Kontrolle darüber, würden die Benutzer nicht einmal vor der Übernahme gewarnt. Weder verfügen die Roboter über eine Hardware-Leuchte noch über andere Anzeigen, die User darauf aufmerksam machten, dass ihre Kameras und Mikrofone eingeschaltet sind. Wie Giese bestätigt, so könnten sie auch so, einmal ins System eingedrungen, mögliche Warnhinweise problemlos löschen, um unauffällig zu bleiben.
Giese und Braelynn machen zudem noch auf weitere Probleme mit Ecovacs-Geräten aufmerksam. Zum einen verblieben die auf den Robotern gespeicherten Daten auf den Cloud-Servern des Unternehmens, selbst bei Löschung des Benutzerkontos. Zum anderen blieben auch die Authentifizierungstoken in der Cloud erhalten. Falls also jemand so einen Roboter in gutem Glauben gebraucht kauft, ist infolge auch dieser vor Spionage nicht sicher.
Ferner würde eine als Diebstahlschutzmechanismus für den Zugriff auf Rasenmäherroboter erforderliche PIN im Klartext gespeichert. Für Hacker somit ein Leichtes, diese auszulesen. Zudem ließen sich, sobald einmal ein Ecovacs-Roboter kompromittiert sei, auch andere Ecovacs-Roboter in dessen Reichweite gleich noch mit hacken.
Mängelbeseitigung unternehmensseitig nicht vorgesehen
Die Sicherheitsforscher haben das Unternehmen über die von ihnen festgestellten gravierenden Sicherheitsmängel informiert. Auch TechCrunch wendete sich diesbezüglich an Ecovacs. Daraufhin erklärte der Hersteller, dass sie die von den Forschern gefundenen Mängel nicht beheben werden. Ein Unternehmenssprecher beschwichtigt: „Die Benutzer können beruhigt sein und müssen sich hierüber keine allzu großen Sorgen machen“.