Cloud-basierte Saugroboter von Tesvor sind angreifbar, weil sie lediglich die MAC-Adresse zur Authentifizierung verwenden. Sie schlampen auch bei Zertifikaten.
In den Staubsauger- und Wischrobotern des chinesischen Herstellers Tesvor steckt eine Software-Schwachstelle, über die Angreifer aus dem Internet den Gerätestatus sowie den Grundriss der Wohnung, in dem der Roboter Dienst tut, auslesen können. Dazu muss lediglich die MAC-Adresse des Geräts bekannt sein – sie reicht fürs Authentifizieren aus. Das fanden Forscher des System Security Lab an der TU Darmstadt heraus.
Quelle: heise.de