Anfang des Monats warnten Sicherheitsforscher, dass eine Reihe von Sicherheitslücken in Staubsauger- und Rasenmäherrobotern von Ecovacs es Hackern ermöglichen könnten, deren Besitzer über die Mikrofone und Kameras der Geräte auszuspionieren.
Ecovacs erklärte damals gegenüber Tech, dass die von den Forschern gefundenen Schwachstellen „in typischen Benutzerumgebungen äußerst selten auftreten und spezielle Hacking-Tools sowie physischen Zugriff auf das Gerät erfordern“.
„Daher können die Benutzer beruhigt sein, dass sie sich hierüber keine allzu großen Sorgen machen müssen“, heißt es in der per E-Mail versandten Erklärung, in der jedoch keine Zusage zur Behebung der Schwachstellen gegeben wird.
Zwei Wochen später änderte Ecovacs seine Meinung und teilte den Forschern und Tech mit, dass das Unternehmen die Fehler tatsächlich beheben werde.
„Wir haben eine gründliche Überprüfung und Selbstprüfung durchgeführt. Wir haben mehrere Bereiche identifiziert, in denen Verbesserungsbedarf besteht“, sagte Martin Ma, der Direktor des Sicherheitsausschusses von Ecovacs, in einer E-Mail an Tech. „Als Reaktion darauf haben wir gezielte Verbesserungen eingeleitet und die hervorgehobenen Probleme behoben.“
Kontaktieren Sie uns
Haben Sie weitere Informationen zu Mängeln bei Ecovacs oder anderen internetfähigen Haushaltsrobotern? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Am 10. August haben die Sicherheitsforscher Dennis Giese und Braelynn hielt einen Vortrag über ihre Forschung zu den Heimrobotern von Ecovacs auf der jährlichen Hacking-Konferenz Def Con in Las Vegas. Die beiden sagten, sie hätten 11 Ecovacs-Geräte analysiert und mehrere Mängel gefunden.
Die schwerwiegendste Schwachstelle, so sagten sie, ermögliche es jedem, der ein Telefon benutzt, sich über Bluetooth aus einer Entfernung von bis zu 450 Fuß (rund 130 Meter) mit einem Ecovacs-Roboter zu verbinden und die Kontrolle über die Geräte zu übernehmen. Dieser Fehler würde es den Hackern dann ermöglichen, die Roboter von überall aus zu überwachen, da die Roboter über WLAN mit dem Internet verbunden sind.
Zu den weiteren Schwachstellen gehörte laut den Forschern ein Bug, der es Benutzern ermöglichte, auf einen Roboterstaubsauger zuzugreifen, nachdem diese ihn verkauft und ihr Konto gelöscht hatten. Das bedeutete, dass sie die neuen Besitzer des Geräts ausspionieren konnten.
In einer E-Mail an Giese vom 16. August, die Tech zur Verfügung gestellt wurde, erwähnte Ma von Ecovacs, dass der Vortrag der Forscher auf der Def Con „meine Aufmerksamkeit erregt“ habe. Deshalb, so die E-Mail weiter, habe Ma das Sicherheitsteam von Ecovacs gebeten, die Korrespondenz des Unternehmens mit den Forschern abzurufen. Ma sagte, das Unternehmen habe die E-Mails der Forscher vom Dezember 2023 „versehentlich übersehen“.
„Wir haben Ihre in den vorherigen E-Mails und den Demos auf der Def Con 2024 angesprochenen Punkte sorgfältig geprüft und eine eingehende Überprüfung und Selbstprüfung durchgeführt“, sagte Ma und fügte hinzu, dass das Unternehmen Probleme bei zwei Ecovacs-Modellen – dem Goat G1 und dem X1 – sowie in der Ecovacs-App beheben werde.
„Ihre Analyse wurde von unserem technischen Team sehr geschätzt und gewürdigt. Ihre Erkenntnisse sind von unschätzbarem Wert für die Gewährleistung der Sicherheit und Integrität unserer Produkte und leisten einen wesentlichen Beitrag zur gesamten Unterhaltungselektronikbranche“, schrieb Ma. „Letztendlich sind es die Verbraucher, die am meisten von Ihrem Engagement profitieren werden.“