1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Xiaomi: Mit einem Stück Alufolie…

Datenschutz

Wochenende!!! Zeit für Quatsch!
  1. Thema

Neues Thema Ansicht wechseln


  1. Datenschutz

    Autor: pointX 28.12.17 - 22:19

    Die Sicherheit scheint ja für ein IoT-Gerät ausnahmsweise doch relativ gut zu sein, das muss man Xiaomi zugute halten.
    Zumindest ein einfacher Hack über das Internet scheint ja noch nicht möglich zu sein.

    Erschreckend ist aber natürlich, was für Daten sich der Hersteller nach Hause funken lässt. Der Grundriss der Wohnung, Datum/Dauer der Saugvorgänge sowie WLAN SSID+Passwort werden nach China gesendet und auf Befehl lässt sich auch noch der hausinternen Datenverkehr mitschneiden. Damit lassen sich wunderbar Profile erstellen und die Eigentümer überwachen.

    Das Ding einfach gar nicht ins Internet zu lassen scheint ja auch nicht gut zu sein (zumindest bist zur ersten Einrichtung?), daher ist es umso wichtiger, dass man solche IoT-Geräte komplett übernehmen kann, um die Kontrolle über die eigenen Daten zurückzuerlangen.

  2. Re: Datenschutz

    Autor: Smacer1234 29.12.17 - 00:44

    Der WLAN SSID+Passwort wird nicht nach China gesendet, es wird in der Docking Station gespeichert und kann dort auch ausgelesen werden. Wenn du das Dock aus der Steckdose ziehst bleibt der Sauger stehen und meldet kein W-LAN. Das Dock und der Sauger haben ihr eigens 2,4 GHZ Netzwerk. Er fährt auch nicht los wenn das Dock nicht eingesteckt ist.

    Wenn das Dock in der Steckdose ist, ist es egal ob der Sauger mit dem Internet verbunden ist oder nicht. Auch wenn er kein WLAN hat Saugt er die Wohnung trotzdem ganz normal. Die APP auf dem Handy geht aber nur, wenn er mit dem Internet verbunden ist. Das sollte klar sein. Da die APP immer über die Cloud in China arbeitet.

    Warum die den Sauger gehackt haben ist mir nicht ganz klar. Man nehme ein Arduino Telefon was sich leicht rooten lässt geht auf das Dateisystem und kopiert aus der Installierten und konfigurierten Xiaomi APP für den Sauger den TokenKEY für seinen Sauger und schon hat man Zugriff auf den Sauger und kann alles Steuern und abfragen was die APP kann ---> Fhem ist aber bekannt.

    Ich habe das nicht weiterverfolgt da ich meinen Chinesischen Putzsklaven noch brauche aber würde mal Tippen das der Sauger nur einen Key hat und das der Key aus der App derselbe ist mit dem auch die Kommunikation zwischen dem Dock verschlüsselt.

    Die USB Schnittstelle ist nicht dafür gedacht auf die Daten von dem Sauger zu kommen. Er hat einen Bootloader, wenn er Bootet geht die USB Schnittstelle. Das ist aber auch logisch den die Geräte werden in Serie Produziert. Bedeutet das sie wie jedes Gerät mit einem Linux System einen Bootloader haben über die Sie dann im letzten Takt am Band mit Ihren festen werten Programmiert werden. Der TokenKey ist zu 100% ein fester wert da der Sauger ab Werk sein Dock kennt und auch nur das Dock was in der Verpackung mit Ihm war.

    Der Sauger ist so lange 100% sicher wie es die an Ihm angeschlossen Hardware ist und hier meine ich das Endgerät womit er gesteuert wird.

    DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.

    Maximal der Hersteller könnte die Daten lesen, macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.

    Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.) In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden. Gute sichere Netzwerktechnik war und ist immer schon teuer gewesen. Nur weil heute ein aktiver Switch ab 50¤ zu haben ist muss der nicht gut und sicher sein.



    2 mal bearbeitet, zuletzt am 29.12.17 00:50 durch Smacer1234.

  3. Re: Datenschutz

    Autor: eXXogene 29.12.17 - 02:35

    Das die Robbies Karten der Wohnung erstellen und diese auf Server der Hersteller übertragen, ist der Tatsache geschuldet das die Besitzer so halt unterwegs schauen können was der Robbi so treibt Wenn die Hersteller clever sind, können sie mit den Telemetriedaten ihre Firmware verbessern.

    Bei dem Xiaomi mache ich mir auch wenig Sorgen, weil der Sauger seine Umgebung mit einem LIDAR Scanner erfasst. Bei den teuren iRobot wird allerdings eine Kamera eingesetzt. Was man davon hält, entscheidet jeder für sich selber. Mal davon abgesehen das LIDAR auch in dunklen Räumen funktioniert...

    Die ct empfiehlt übrigens iot Geräte nur mit einem Gast WLAN zu verbinden. Dann sollte es nicht mehr möglich sein das gehackte Geräte Daten von smb shares etc abschnorcheln.



    1 mal bearbeitet, zuletzt am 29.12.17 02:42 durch eXXogene.

  4. Re: Datenschutz

    Autor: Mithrandir 29.12.17 - 22:05

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Warum die den Sauger gehackt haben ist mir nicht ganz klar.

    Aus Spaß an der Freude. Außerdem kann man so den kompletten Verkehr nach draußen abklemmen, und die Integration in Home-Assistant u.a. Diensten optimieren. Die Reinigungskarte gibt's bspw. nur per App.

    Vielleicht schreibt auch jemand eine alternative Firmware.

    Möglicherweise finden die es aber auch einfach nur cool, auf die Frage "Wo ist die Datenbank hinter dem Service?" mit "Fährt gerade unterm Sofa." zu antworten.

  5. Re: Datenschutz

    Autor: pointX 30.12.17 - 14:00

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Der WLAN SSID+Passwort wird nicht nach China gesendet
    Quelle? Im Vortrag auf dem CCC wird gegenteiliges gesagt.

    > Der Sauger ist so lange 100% sicher (...) DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.
    Quelle?

    > Maximal der Hersteller könnte die Daten lesen
    Damit sind die Daten so lange sicher, bis deren Server gehackt werden.
    Kurz: die Daten sind nicht sicher.

    > macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.
    Man speichert einfach alle Keys, und sucht sich dann den passenden aus?

    > Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.)
    VLAN in einem Heimnetzwerk? Wünschenswert, geht aber an der Realität total vorbei. Weder die Router der ISPs noch Fritzboxen unterstützen das (ohne Custom Firmware).

    > In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden.
    Nein, Schuld sind die Hersteller, die unnötig Daten sammeln auf Vorrat in ihre Cloud hochladen, ohne dabei an Datensicherheit zu denken.
    Und weil sie die Daten auswerten wollen, wird natürlich keine Ende-zu-Ende Verschlüsselung implementiert.
    Diese Hersteller tragen die Verantwortung für gehackte Devices und geklaute Daten.
    Und nicht der User, der womöglich technisch davon sowieso keine Ahnung hat, aber darauf vertraut, dass es sicher gemacht ist.

  6. Re: Datenschutz

    Autor: dgi 30.12.17 - 20:39

    Mit Verlaub, aber das mit dem Dock ist Unsinn. Ich habe Fotos von Dock mit im Repo, da kann sich jeder überzeugen, das da keine Intelligenz drin ist. Der Staubsauger findet die Dockingstation über ein Bandenmuster unter der schwarzen Plastikabdeckung.

    Die Credentials befinden sich auf dem Staubsauger(/mnt/data/miio), der unabhängig von der Dockingstation ist. Man kann die also problemlos austauschen.

    Die WLAN SSID wird mit MAC-Adresse alle 30 Minuten an den Cloudserver übertragen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Stuttgart
  2. Interhyp Gruppe, Berlin, München
  3. Melitta Business Service Center GmbH & Co. KG, Minden
  4. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 9,29€
  3. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  4. 28,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de