1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Xiaomi: Mit einem Stück Alufolie…

Datenschutz

  1. Thema

Neues Thema Ansicht wechseln


  1. Datenschutz

    Autor: pointX 28.12.17 - 22:19

    Die Sicherheit scheint ja für ein IoT-Gerät ausnahmsweise doch relativ gut zu sein, das muss man Xiaomi zugute halten.
    Zumindest ein einfacher Hack über das Internet scheint ja noch nicht möglich zu sein.

    Erschreckend ist aber natürlich, was für Daten sich der Hersteller nach Hause funken lässt. Der Grundriss der Wohnung, Datum/Dauer der Saugvorgänge sowie WLAN SSID+Passwort werden nach China gesendet und auf Befehl lässt sich auch noch der hausinternen Datenverkehr mitschneiden. Damit lassen sich wunderbar Profile erstellen und die Eigentümer überwachen.

    Das Ding einfach gar nicht ins Internet zu lassen scheint ja auch nicht gut zu sein (zumindest bist zur ersten Einrichtung?), daher ist es umso wichtiger, dass man solche IoT-Geräte komplett übernehmen kann, um die Kontrolle über die eigenen Daten zurückzuerlangen.

  2. Re: Datenschutz

    Autor: Smacer1234 29.12.17 - 00:44

    Der WLAN SSID+Passwort wird nicht nach China gesendet, es wird in der Docking Station gespeichert und kann dort auch ausgelesen werden. Wenn du das Dock aus der Steckdose ziehst bleibt der Sauger stehen und meldet kein W-LAN. Das Dock und der Sauger haben ihr eigens 2,4 GHZ Netzwerk. Er fährt auch nicht los wenn das Dock nicht eingesteckt ist.

    Wenn das Dock in der Steckdose ist, ist es egal ob der Sauger mit dem Internet verbunden ist oder nicht. Auch wenn er kein WLAN hat Saugt er die Wohnung trotzdem ganz normal. Die APP auf dem Handy geht aber nur, wenn er mit dem Internet verbunden ist. Das sollte klar sein. Da die APP immer über die Cloud in China arbeitet.

    Warum die den Sauger gehackt haben ist mir nicht ganz klar. Man nehme ein Arduino Telefon was sich leicht rooten lässt geht auf das Dateisystem und kopiert aus der Installierten und konfigurierten Xiaomi APP für den Sauger den TokenKEY für seinen Sauger und schon hat man Zugriff auf den Sauger und kann alles Steuern und abfragen was die APP kann ---> Fhem ist aber bekannt.

    Ich habe das nicht weiterverfolgt da ich meinen Chinesischen Putzsklaven noch brauche aber würde mal Tippen das der Sauger nur einen Key hat und das der Key aus der App derselbe ist mit dem auch die Kommunikation zwischen dem Dock verschlüsselt.

    Die USB Schnittstelle ist nicht dafür gedacht auf die Daten von dem Sauger zu kommen. Er hat einen Bootloader, wenn er Bootet geht die USB Schnittstelle. Das ist aber auch logisch den die Geräte werden in Serie Produziert. Bedeutet das sie wie jedes Gerät mit einem Linux System einen Bootloader haben über die Sie dann im letzten Takt am Band mit Ihren festen werten Programmiert werden. Der TokenKey ist zu 100% ein fester wert da der Sauger ab Werk sein Dock kennt und auch nur das Dock was in der Verpackung mit Ihm war.

    Der Sauger ist so lange 100% sicher wie es die an Ihm angeschlossen Hardware ist und hier meine ich das Endgerät womit er gesteuert wird.

    DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.

    Maximal der Hersteller könnte die Daten lesen, macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.

    Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.) In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden. Gute sichere Netzwerktechnik war und ist immer schon teuer gewesen. Nur weil heute ein aktiver Switch ab 50¤ zu haben ist muss der nicht gut und sicher sein.



    2 mal bearbeitet, zuletzt am 29.12.17 00:50 durch Smacer1234.

  3. Re: Datenschutz

    Autor: eXXogene 29.12.17 - 02:35

    Das die Robbies Karten der Wohnung erstellen und diese auf Server der Hersteller übertragen, ist der Tatsache geschuldet das die Besitzer so halt unterwegs schauen können was der Robbi so treibt Wenn die Hersteller clever sind, können sie mit den Telemetriedaten ihre Firmware verbessern.

    Bei dem Xiaomi mache ich mir auch wenig Sorgen, weil der Sauger seine Umgebung mit einem LIDAR Scanner erfasst. Bei den teuren iRobot wird allerdings eine Kamera eingesetzt. Was man davon hält, entscheidet jeder für sich selber. Mal davon abgesehen das LIDAR auch in dunklen Räumen funktioniert...

    Die ct empfiehlt übrigens iot Geräte nur mit einem Gast WLAN zu verbinden. Dann sollte es nicht mehr möglich sein das gehackte Geräte Daten von smb shares etc abschnorcheln.



    1 mal bearbeitet, zuletzt am 29.12.17 02:42 durch eXXogene.

  4. Re: Datenschutz

    Autor: Mithrandir 29.12.17 - 22:05

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Warum die den Sauger gehackt haben ist mir nicht ganz klar.

    Aus Spaß an der Freude. Außerdem kann man so den kompletten Verkehr nach draußen abklemmen, und die Integration in Home-Assistant u.a. Diensten optimieren. Die Reinigungskarte gibt's bspw. nur per App.

    Vielleicht schreibt auch jemand eine alternative Firmware.

    Möglicherweise finden die es aber auch einfach nur cool, auf die Frage "Wo ist die Datenbank hinter dem Service?" mit "Fährt gerade unterm Sofa." zu antworten.

  5. Re: Datenschutz

    Autor: pointX 30.12.17 - 14:00

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Der WLAN SSID+Passwort wird nicht nach China gesendet
    Quelle? Im Vortrag auf dem CCC wird gegenteiliges gesagt.

    > Der Sauger ist so lange 100% sicher (...) DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.
    Quelle?

    > Maximal der Hersteller könnte die Daten lesen
    Damit sind die Daten so lange sicher, bis deren Server gehackt werden.
    Kurz: die Daten sind nicht sicher.

    > macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.
    Man speichert einfach alle Keys, und sucht sich dann den passenden aus?

    > Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.)
    VLAN in einem Heimnetzwerk? Wünschenswert, geht aber an der Realität total vorbei. Weder die Router der ISPs noch Fritzboxen unterstützen das (ohne Custom Firmware).

    > In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden.
    Nein, Schuld sind die Hersteller, die unnötig Daten sammeln auf Vorrat in ihre Cloud hochladen, ohne dabei an Datensicherheit zu denken.
    Und weil sie die Daten auswerten wollen, wird natürlich keine Ende-zu-Ende Verschlüsselung implementiert.
    Diese Hersteller tragen die Verantwortung für gehackte Devices und geklaute Daten.
    Und nicht der User, der womöglich technisch davon sowieso keine Ahnung hat, aber darauf vertraut, dass es sicher gemacht ist.

  6. Re: Datenschutz

    Autor: dgi 30.12.17 - 20:39

    Mit Verlaub, aber das mit dem Dock ist Unsinn. Ich habe Fotos von Dock mit im Repo, da kann sich jeder überzeugen, das da keine Intelligenz drin ist. Der Staubsauger findet die Dockingstation über ein Bandenmuster unter der schwarzen Plastikabdeckung.

    Die Credentials befinden sich auf dem Staubsauger(/mnt/data/miio), der unabhängig von der Dockingstation ist. Man kann die also problemlos austauschen.

    Die WLAN SSID wird mit MAC-Adresse alle 30 Minuten an den Cloudserver übertragen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DEHOGA Baden-Württemberg e. V., Stuttgart
  2. ITEOS, Stuttgart
  3. ANDRITZ Fiedler GmbH, Regensburg
  4. operational services GmbH & Co. KG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

  1. Pentium G3420: Intel verkauft 22-nm-Prozessor von 2013 wieder
    Pentium G3420
    Intel verkauft 22-nm-Prozessor von 2013 wieder

    Die 14-nm-Knappheit bei Intel wird obskur: Der Hersteller hat den Pentium G3420 von 2013 erneut ins Angebot aufgenommen. Der 22-nm-Haswell-Chip ist eigentlich längst ausgelaufen, wird aber reanimiert.

  2. Breitbandausbau: Bernie Sanders will Internet- und Kabelkonzerne zerschlagen
    Breitbandausbau
    Bernie Sanders will Internet- und Kabelkonzerne zerschlagen

    US-Senator Bernie Sanders hat seinen Plan für den Breitbandausbau besonders in ländlichen und armen Regionen der USA vorgelegt. Er will Konzerne zerschlagen und kommunale Strukturen stark fördern.

  3. Korruption: Ericsson zahlt über 1 Milliarde US-Dollar Strafe in den USA
    Korruption
    Ericsson zahlt über 1 Milliarde US-Dollar Strafe in den USA

    Der europäische 5G-Hoffnungsträger war in mehreren Staaten in Korruptionsfälle verwickelt. Die Ericsson-Konzernführung hat dies eingestanden. In den USA zahlt das Unternehmen eine hohe Strafe.


  1. 17:32

  2. 15:17

  3. 14:06

  4. 13:33

  5. 12:13

  6. 17:28

  7. 15:19

  8. 15:03