Ein Trend scheint derzeit kaum aufzuhalten zu sein: vom Kühlschrank bis zur Mikrowelle: Eine wachsende Zahl an Haushaltsgeräten wird heutzutage als "smart" beworben. Dank Internetanbindung sollen sich komplett neue Anwendungsmöglichkeiten ergeben – so zumindest das Versprechen der Hersteller. Worüber sie hingegen weniger gerne reden: Jedes Gerät, das im Internet hängt, ist natürlich auch zusätzlichen Risiken ausgesetzt. Insofern sollte bei der Integration smarter Funktionen auch darauf geachtet werden, dass die Geräte laufend gewartet werden, wie Sicherheitsexperten seit langem mahnen.

Wenig Interesse an Wartung

Die Realität sieht freilich anders aus: Viele Hersteller interessieren sich recht wenig für die Sicherheit ihrer Geräte. Ein besonders drastisches Beispiel liefert nun die Firma Silvercrest, deren in Österreich über den Diskonter Lidl verkaufter Thermomix-Klon "Monsieur Cuisine Connect" grobe Softwaremängel aufweist, wie die französischen Sicherheitsforscher Alexis Viguie und Adrien Albisetti laut einem Bericht von Androidpit herausgefunden haben.

So ist das Gerät mit einer stark veralteten Android-Variante ausgestattet. Konkret kommt hier Android 6 Marshmallow mit einem Sicherheits-Patch von März 2017 zum Einsatz. Mit diesem Wissen ausgestattet, ist es recht einfach, Sicherheitslücken zu finden, über die ein Einbruch von außen möglich ist. In einem Video demonstrieren die beiden Experten denn auch, wie einfach eine Übernahme ist, nach der sie allerlei Unfug mit der Hardware treiben können. So ist es ihnen selbst gelungen, den 3D-Shooter "Doom" zum Laufen zu bringen, da "Monsieur Cuisine Connect" auch einen Bildschirm aufweist.

Mikrofon

Besonders bedenklich wird all dies durch ein überraschendes Merkmal der Hardwareausstattung: Der Thermomix-Klon ist nämlich mit einem integrierten Mikrofon ausgestattet. Dieses konnten die beiden Sicherheitsforscher auch aktivieren, worüber sie dann in Folge die Umgebung eines solcherart gehackten Devices hätten ausspionieren können. Wieso das Küchengerät mit Mikrofon ausgestattet ist, ist unbekannt. Allerdings muss dahinter nicht notwendigerweise eine zweifelhafte Absicht des Herstellers stecken, oft verwenden diese einfach fertig zugekaufte Hardware-Bausätze, um ihre Geräte "smart" zu machen.

Doch selbst wenn das Mikrofon nicht vorhanden wäre, stellen solche nicht gewarteten Geräte eine Gefahr für das eigene Netzwerk dar. Angreifer nutzen schlecht gewartete Devices gerne, um in das lokale Netzwerk einer Person zu kommen und dann andere Geräte anzugreifen. Insofern ist so ein schlecht gewartetes smartes Küchengerät auch eine Gefahr für andere Devices.

Nach Erscheinen des Artikels hat sich Lidl mit einer Stellungnahme zu Wort gemeldet, wir zitieren diese in vollem Umfang: "Lidl bestätigt, dass in dem Monsieur Cuisine Connect ein handelsübliches Tablet verbaut worden ist, das ein Mikrophon beinhaltet. Dieses Mikrofon ist softwareseitig deaktiviert und kann nicht durch unsere Kunden aktiviert werden. Da es sich bei der installierten Software um eine komplett geschlossene Lösung handelt, könnte erst ein massiver technischer Eingriff mit Spezialkenntnissen eine Aktivierung ermöglichen. Die Nutzung eines Tablets mit Mikrophon ist mit Blick auf die mögliche Einführung von weiteren Softwareupdates und Gerätefunktionen erfolgt." (red, 18.6.2019)