1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Xiaomi: Mit einem Stück Alufolie…

Datenschutz

  1. Thema

Neues Thema Ansicht wechseln


  1. Datenschutz

    Autor: pointX 28.12.17 - 22:19

    Die Sicherheit scheint ja für ein IoT-Gerät ausnahmsweise doch relativ gut zu sein, das muss man Xiaomi zugute halten.
    Zumindest ein einfacher Hack über das Internet scheint ja noch nicht möglich zu sein.

    Erschreckend ist aber natürlich, was für Daten sich der Hersteller nach Hause funken lässt. Der Grundriss der Wohnung, Datum/Dauer der Saugvorgänge sowie WLAN SSID+Passwort werden nach China gesendet und auf Befehl lässt sich auch noch der hausinternen Datenverkehr mitschneiden. Damit lassen sich wunderbar Profile erstellen und die Eigentümer überwachen.

    Das Ding einfach gar nicht ins Internet zu lassen scheint ja auch nicht gut zu sein (zumindest bist zur ersten Einrichtung?), daher ist es umso wichtiger, dass man solche IoT-Geräte komplett übernehmen kann, um die Kontrolle über die eigenen Daten zurückzuerlangen.

  2. Re: Datenschutz

    Autor: Smacer1234 29.12.17 - 00:44

    Der WLAN SSID+Passwort wird nicht nach China gesendet, es wird in der Docking Station gespeichert und kann dort auch ausgelesen werden. Wenn du das Dock aus der Steckdose ziehst bleibt der Sauger stehen und meldet kein W-LAN. Das Dock und der Sauger haben ihr eigens 2,4 GHZ Netzwerk. Er fährt auch nicht los wenn das Dock nicht eingesteckt ist.

    Wenn das Dock in der Steckdose ist, ist es egal ob der Sauger mit dem Internet verbunden ist oder nicht. Auch wenn er kein WLAN hat Saugt er die Wohnung trotzdem ganz normal. Die APP auf dem Handy geht aber nur, wenn er mit dem Internet verbunden ist. Das sollte klar sein. Da die APP immer über die Cloud in China arbeitet.

    Warum die den Sauger gehackt haben ist mir nicht ganz klar. Man nehme ein Arduino Telefon was sich leicht rooten lässt geht auf das Dateisystem und kopiert aus der Installierten und konfigurierten Xiaomi APP für den Sauger den TokenKEY für seinen Sauger und schon hat man Zugriff auf den Sauger und kann alles Steuern und abfragen was die APP kann ---> Fhem ist aber bekannt.

    Ich habe das nicht weiterverfolgt da ich meinen Chinesischen Putzsklaven noch brauche aber würde mal Tippen das der Sauger nur einen Key hat und das der Key aus der App derselbe ist mit dem auch die Kommunikation zwischen dem Dock verschlüsselt.

    Die USB Schnittstelle ist nicht dafür gedacht auf die Daten von dem Sauger zu kommen. Er hat einen Bootloader, wenn er Bootet geht die USB Schnittstelle. Das ist aber auch logisch den die Geräte werden in Serie Produziert. Bedeutet das sie wie jedes Gerät mit einem Linux System einen Bootloader haben über die Sie dann im letzten Takt am Band mit Ihren festen werten Programmiert werden. Der TokenKey ist zu 100% ein fester wert da der Sauger ab Werk sein Dock kennt und auch nur das Dock was in der Verpackung mit Ihm war.

    Der Sauger ist so lange 100% sicher wie es die an Ihm angeschlossen Hardware ist und hier meine ich das Endgerät womit er gesteuert wird.

    DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.

    Maximal der Hersteller könnte die Daten lesen, macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.

    Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.) In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden. Gute sichere Netzwerktechnik war und ist immer schon teuer gewesen. Nur weil heute ein aktiver Switch ab 50¤ zu haben ist muss der nicht gut und sicher sein.



    2 mal bearbeitet, zuletzt am 29.12.17 00:50 durch Smacer1234.

  3. Re: Datenschutz

    Autor: eXXogene 29.12.17 - 02:35

    Das die Robbies Karten der Wohnung erstellen und diese auf Server der Hersteller übertragen, ist der Tatsache geschuldet das die Besitzer so halt unterwegs schauen können was der Robbi so treibt Wenn die Hersteller clever sind, können sie mit den Telemetriedaten ihre Firmware verbessern.

    Bei dem Xiaomi mache ich mir auch wenig Sorgen, weil der Sauger seine Umgebung mit einem LIDAR Scanner erfasst. Bei den teuren iRobot wird allerdings eine Kamera eingesetzt. Was man davon hält, entscheidet jeder für sich selber. Mal davon abgesehen das LIDAR auch in dunklen Räumen funktioniert...

    Die ct empfiehlt übrigens iot Geräte nur mit einem Gast WLAN zu verbinden. Dann sollte es nicht mehr möglich sein das gehackte Geräte Daten von smb shares etc abschnorcheln.



    1 mal bearbeitet, zuletzt am 29.12.17 02:42 durch eXXogene.

  4. Re: Datenschutz

    Autor: Mithrandir 29.12.17 - 22:05

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Warum die den Sauger gehackt haben ist mir nicht ganz klar.

    Aus Spaß an der Freude. Außerdem kann man so den kompletten Verkehr nach draußen abklemmen, und die Integration in Home-Assistant u.a. Diensten optimieren. Die Reinigungskarte gibt's bspw. nur per App.

    Vielleicht schreibt auch jemand eine alternative Firmware.

    Möglicherweise finden die es aber auch einfach nur cool, auf die Frage "Wo ist die Datenbank hinter dem Service?" mit "Fährt gerade unterm Sofa." zu antworten.

  5. Re: Datenschutz

    Autor: pointX 30.12.17 - 14:00

    Smacer1234 schrieb:
    --------------------------------------------------------------------------------
    > Der WLAN SSID+Passwort wird nicht nach China gesendet
    Quelle? Im Vortrag auf dem CCC wird gegenteiliges gesagt.

    > Der Sauger ist so lange 100% sicher (...) DENN ALLE DATEN SIND MIT DEM KEY IN DER CLOUD VERSCHLÜSSELT.
    Quelle?

    > Maximal der Hersteller könnte die Daten lesen
    Damit sind die Daten so lange sicher, bis deren Server gehackt werden.
    Kurz: die Daten sind nicht sicher.

    > macht aber keinen sin da zu dem Zeitpunkt wo der Key in das Gerät gegeben wird noch nicht bekannt ist wer es bekommt oder in welches Land er geht.
    Man speichert einfach alle Keys, und sucht sich dann den passenden aus?

    > Man kann Problemlos Netzwerkgeräte so betreiben das es andere nicht findet. (VLAN usw.)
    VLAN in einem Heimnetzwerk? Wünschenswert, geht aber an der Realität total vorbei. Weder die Router der ISPs noch Fritzboxen unterstützen das (ohne Custom Firmware).

    > In der heutigen Zeit ist man selber schuld, wenn seine Daten geklaut werden.
    Nein, Schuld sind die Hersteller, die unnötig Daten sammeln auf Vorrat in ihre Cloud hochladen, ohne dabei an Datensicherheit zu denken.
    Und weil sie die Daten auswerten wollen, wird natürlich keine Ende-zu-Ende Verschlüsselung implementiert.
    Diese Hersteller tragen die Verantwortung für gehackte Devices und geklaute Daten.
    Und nicht der User, der womöglich technisch davon sowieso keine Ahnung hat, aber darauf vertraut, dass es sicher gemacht ist.

  6. Re: Datenschutz

    Autor: dgi 30.12.17 - 20:39

    Mit Verlaub, aber das mit dem Dock ist Unsinn. Ich habe Fotos von Dock mit im Repo, da kann sich jeder überzeugen, das da keine Intelligenz drin ist. Der Staubsauger findet die Dockingstation über ein Bandenmuster unter der schwarzen Plastikabdeckung.

    Die Credentials befinden sich auf dem Staubsauger(/mnt/data/miio), der unabhängig von der Dockingstation ist. Man kann die also problemlos austauschen.

    Die WLAN SSID wird mit MAC-Adresse alle 30 Minuten an den Cloudserver übertragen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Polizeipräsidium Niederbayern, Landshut, Straubing, Passau
  2. Bayerisches Landeskriminalamt, München
  3. Hochschule Albstadt-Sigmaringen, Albstadt
  4. ANDRITZ Fiedler GmbH, Regensburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-72%) 8,50€
  2. 52,99€
  3. 4,32€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
    Radeon RX 5500 (4GB) im Test
    AMDs beste 200-Euro-Karte seit Jahren

    Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
    Ein Test von Marc Sauter

    1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
    2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
    3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

    1. Office 365: Smartphone-Gewohnheiten erfordern Umdenken bei Microsoft
      Office 365
      Smartphone-Gewohnheiten erfordern Umdenken bei Microsoft

      Microsoft möchte seine mobile Office-365-Suite auch auf dem Smartphone möglichst produktiv machen. Die Herausforderung ist es, sinnvolle Funktionen für vergleichsweise kurze Sitzungen an Smartphones zu entwickeln. Die Entwickler erklären, wie sie das schaffen wollen.

    2. Arbeitsklima: Schlangengrube Razer
      Arbeitsklima
      Schlangengrube Razer

      Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.

    3. Kooperation: Deutsche Glasfaser und Vodafone machen zusammen FTTH
      Kooperation
      Deutsche Glasfaser und Vodafone machen zusammen FTTH

      Die Deutsche Glasfaser baut das passive Glasfasernetz und Vodafone betreibt das aktive Netz. Ein neues Modell soll den Ausbau zuerst in Hessen schnell voranbringen.


    1. 13:39

    2. 12:14

    3. 12:07

    4. 11:38

    5. 11:20

    6. 10:58

    7. 10:41

    8. 10:24