Zahlreiche Geräte von Ecovacs sollen Schwachstellen haben (wir berichteten). Mit genügend Know-how soll es angeblich möglich sein, Geräte zu kapern und integrierte Kameras und Mikrofone zu überwachen. Während Ecovacs laut den Sicherheitsforschern nicht auf deren Hinweise reagiert hat, verschickt man aktuell Statements an die Presse, die über den Fall berichtet haben. Sollte dies der Fall sein und Ecovacs wirklich jetzt erst reagieren, ist das ein Armutszeugnis, denn wenn Sicherheitsforscher Schwachstellen melden, sollte man als Unternehmen hinhorchen.
Und, was sagt man bei Ecovacs? Nach der umfassenden internen Überprüfung wurde festgestellt, dass die identifizierten Sicherheitsprobleme in regulären Benutzerumgebungen äußerst selten sind und professionelle Hacking-Tools sowie physischen Kontakt mit dem Gerät erfordern. Zur Bluetooth-Anfälligkeit gibt man wie folgt mit: Das Durchbrechen der PIN-Code-Verifizierung der Bluetooth-Verbindung erfordert, dass man sich im Bluetooth-Abdeckungsbereich des Geräts befindet und spezialisierte Hacking-Tools verwendet.
Das Unternehmen betrachtet dies als „eine Hacking-Methode in technischen Verteidigungs- und Angriffsaktionen, aber es ist nicht etwas, das typischerweise im täglichen Leben vorkommt„. Man glaubt gar, dass dieses Verfahren illegal sei. Aber mal ganz ehrlich, es ist möglich, da sollte Ecovacs etwas unternehmen und nicht herumlamentieren, dass eine Methode evtl. illegal sei. Immerhin: Das Unternehmen wird die Sicherheit der Bluetooth-Verbindungen seiner Produkte durch technische Maßnahmen verbessern, wie z. B. die Einschränkung von Zweitkontenanmeldungen, die Verstärkung des zweiten Verifizierungsprozesses für Bluetooth-Geräteverbindungen und die Anforderung physischer Operationen zur Vervollständigung der Bluetooth-Paarung.
Die Sicherheitsforscher mahnten auch an, dass Daten weiterhin verfügbar blieben, selbst wenn ein Nutzer sein Konto gelöscht hat. Laut Unternehmen geht es da um anonymisierte Daten, die man behält, um etwaige Offline-Probleme zu diagnostizieren – was auch immer das heißt. Wenn ein Benutzer sein Konto deaktiviert, anonymisiert Ecovacs die zugehörigen Produktnutzungsdaten in der Cloud.
Die Geräte würden nur „mit speziellen Hacking-Tools gehackt werden können„, um auf Geräteprotokollinformationen zuzugreifen, und erlauben das Anzeigen von Cloud-Daten innerhalb des siebentägigen Gültigkeitszeitraums nur, wenn die Cloud-Zugriffstoken geknackt wurden. Da will man nun Abhilfe schaffen.
Man verpflichtet sich, die Produktsicherheit durch Software-Updates zu verbessern, einen Echtzeit-Token-Invalidierungsmechanismus zu aktivieren, die Schwierigkeit des Erhaltens von Tokens zu erhöhen und Protokolle nach dem Zurücksetzen zu löschen, um die Datensicherheit zu gewährleisten. Auch die weiteren Probleme wolle man beheben. Man plane, die Systemsicherheit in zukünftigen Produkt-Updates zu stärken. Diese Maßnahmen umfassen die Verschlüsselung von Firmware-Paketen, sicheres Booten, TLS-Zertifikatsvalidierung und Dateiverschlüsselung.
Tjoa, mal schauen, was da passiert. Spätestens zur nächsten DefCon wird man vielleicht etwas hören.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.