{"id":15605,"date":"2018-01-08T11:35:33","date_gmt":"2018-01-08T09:35:33","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15605"},"modified":"2019-02-28T14:15:18","modified_gmt":"2019-02-28T12:15:18","slug":"xiaomi-mi-robot-hacked","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/xiaomi-mi-robot-hacked\/15605\/","title":{"rendered":"Xiaomi Mi-Robot-Staubsauger gehackt"},"content":{"rendered":"

Die Geschichte des Internets und seiner Dinge mag oftmals eine ungl\u00fcckselige, aber dennoch keine hoffnungslose Angelegenheit sein. Obwohl die Sicherheitsforscher Dennis Giese und Daniel Wegemer es letztendlich geschafft haben, den Staubsauger Xiaomi Mi Robot zu hacken, zeigt ihre Untersuchung, dass das Ger\u00e4t deutlich sicherer ist als viele andere Smart-Ger\u00e4te.<\/p>\n

In ihrem Vortrag auf dem 34. Chaos Communication Congress (34C3), der k\u00fcrzlich in Leipzig stattfand, erkl\u00e4rten die Forscher, wie die Ger\u00e4tesoftware funktioniert und welche Sicherheitsl\u00fccken ausgenutzt werden m\u00fcssen, um den Schutz endg\u00fcltig zu knacken.<\/span><\/p>\n

\"Xiaomi<\/a><\/p>\n

Mi Robot mit Aluminiumfolie gehackt<\/h2>\n

Zu Beginn ihrer Recherche, waren Giese und Wegemer dar\u00fcber erstaunt, dass der Xiaomi Staubsauger \u00fcber eine leistungsst\u00e4rkere Hardware verf\u00fcgt als viele Smartphones: Er ist mit drei ARM-Prozessoren ausgestattet, von denen einer Quad-Core ist. Klingt ziemlich vielversprechend, oder nicht? F\u00fcrs Erste versuchten Giese und Wegemer, mehrere offensichtliche Angriffsvektoren zu verwenden, um das System zu hacken.<\/span><\/p>\n

Zuerst versuchten die Forscher sich \u00fcber den Micro-USB-Anschluss des Staubsaugers in das Ger\u00e4t einzuschleusen. Hier trafen sie allerdings auf eine Sackgasse: Xiaomi hat die Verbindung mit einer Art Authentifizierung abgesichert. Danach nahmen die Forscher den Mi Robot auseinander und untersuchten ihn auf einen seriellen Port auf dem Motherboard. Auch dieser Versuch blieb erfolglos.<\/span><\/p>\n

Die zweite Hacking-Methode lief netzwerkbasiert ab. Die Forscher versuchten, die Netzwerkports des Ger\u00e4ts zu scannen, stie\u00dfen allerdings auf verschlossene Ports. Auch der Versuch im Netzwerkverkehr des Ger\u00e4ts herumzuschn\u00fcffeln brachte die Forscher nicht weiter, da die Verbindung des Roboters verschl\u00fcsselt war. An dieser Stelle muss ich sagen, dass ich schon ziemlich beeindruckt bin: Viele andere IoT-Ger\u00e4te w\u00e4ren an dieser Stelle bereits gehackt worden, da ihre Entwickler in Sachen Sicherheit normalerweise nicht ganz so weit kommen wie bei diesem Staubsauger. Unsere j\u00fcngsten Untersuchungen<\/a> veranschaulichen, wie unsicher vernetzte Ger\u00e4te tats\u00e4chlich sind.<\/span><\/p>\n

Doch zur\u00fcck zum Xiaomi Mi Robot. Der n\u00e4chste Versuch der Forscher bestand darin, einen Angriff auf die Hardware des Staubsaugers zu starten. Dies konnte ihnen schlie\u00dflich gelingen, indem sie einige der winzigen Kontakte, die den Prozessor mit dem Motherboard verbinden, mit Aluminiumfolie kurzschlie\u00dfen konnten. Das versetzte den Prozessor in einen speziellen Modus, in dem der Flash-Speicher direkt \u00fcber die USB-Verbindung gelesen und beschrieben werden konnte.<\/span><\/p>\n

Auf diese Weise gelang es Giese und Wegemer, an die Firmware von Mi Robot zu gelangen, diese r\u00fcckzuentwickeln und schlie\u00dflich zu modifizieren und auf den Staubsauger zu laden, um so die volle Kontrolle \u00fcber das Ger\u00e4t zu erlangen.<\/span><\/p>\n