Thermomix-Klon: Küchenmaschine von Hofer und Aldi mit Sicherheitslücke

Die Maschine kann ferngesteuert und beschädigt werden. Ein Forscherteam rät daher, das Gerät ohne die WLAN-Funktion zu verwenden.

Artikel veröffentlicht am ,
Die betroffene Küchenmaschine von Aldi.
Die betroffene Küchenmaschine von Aldi. (Bild: Aldi)

Ein Forscher-Team an der Fachhochschule Oberösterreich hat eine Sicherheitslücke in einer Küchenmaschine mit Koch- und WLAN-Funktion entdeckt. Die Maschine ähnelt dem bekannteren Thermomix von Vorwerk und wurde unter den Namen Ambiano oder Quigg bei Hofer und Aldi verkauft. Über einen Knopf an der Maschine kann die WLAN-Funktion aktiviert werden, über welches die Maschine per App ferngesteuert werden kann.

Stellenmarkt
  1. Systemanalytiker - Entwicklung Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  2. Junior Projektleiter (w/m/d) Media Asset Management Projects
    Deutsche Welle, Bonn, Berlin
Detailsuche

Diese Verbindung lässt sich jedoch leicht übernehmen, wie Florian Hehenberger, Markus Zeilinger und Dieter Vymazal herausgefunden haben. Auf diese Weise lasse sich das Gerät fernsteuern oder möglicherweise sogar zerstören. Das funktioniert nur in der Reichweite des WLANs und nur, wenn dieses zuvor aktiviert wurde. Zudem deaktiviert die Küchenmaschine das WLAN im Standby-Modus oder wenn sie ausgeschaltet wird. Nachdem Hofer die Sicherheitslücke innerhalb von drei Monaten nach einem Hinweis durch das Forscher-Team nicht behoben hatte, veröffentlichte dieses die Sicherheitslücke und die Beschreibung ihres Proof of Concepts (PoC).

Das aufgespannte WLAN der Küchenmaschinen beginnt laut dem Forscher-Team immer mit der Zeichenkette "KM2017Wi". Nach dieser scannte das Team mit einem Script, das zu einem späteren Zeitpunkt veröffentlicht werden soll, und startete einen Verbindungsversuch. Da die Küchenmaschine immer nur eine WLAN-Verbindung zulässt, muss eine eventuell bereits bestehende Verbindung mit einem Deauth-Befehl getrennt werden. Der Befehl ist Teil des WLAN-Standards 802.11 und fordert ausgewählte oder alle Geräte dazu auf, ihre Verbindung mit einem WLAN zu trennen. Laut der Bundesnetzagentur ist der Einsatz solcher Deauther jedoch "nicht zulässig".

Erhitzen aus der Ferne

Besteht keine Verbindung (mehr) mit der Küchenmaschine, kann über das ungeschützte WLAN eine Verbindung hergestellt werden. Anschließend kann die Maschine ferngesteuert und beispielsweise erhitzt werden. Ein Heizvorgang sei eigentlich nur erlaubt, wenn auch die Rühreinheit des Gerätes aktiv ist und bis zu einer Zieltemperatur von 120°C möglich. Diese Beschränkungen konnten die Forscher jedoch umgehen und die Temperatur bis auf 140°C erhöhen, ohne dass die Rühreinheit aktiv war.

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
Weitere IT-Trainings

Auch sei eine Beschädigung des Gerätes möglich, wenn bei voller Drehzahl alle 1,5 Sekunden die Drehrichtung gewechselt werde. "Um unser Testgerät nicht tatsächlich zu beschädigen, haben wir dies nicht umfangreich getestet. Wir gehen aber davon aus, dass dieses Vorgehen über kurz oder lang zu einer mechanischen Beschädigung der Küchenmaschine führt", erklärten die Wissenschaftler. Eine Lösung der Schwachstelle ist derzeit nicht in Sicht, die Forscher empfehlen derweil, "die WLAN-Funktion der Küchenmaschine nicht zu aktivieren und damit auf die Fernsteuerung mittels App zu verzichten."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


OnlyXeno 10. Aug 2020

Ist nicht Aufgabe von Aldi sich darum zu Kümmern. Es ist Aufgabe des Herstellers. Aldi...

swegmann... 09. Aug 2020

allen ernstes warum sollte ich dem hersteller eines geräts eine wanze in meinem netz...

IchBIN 08. Aug 2020

Och, ich denke schon, dass so eine Maschine praktisch/hilfreich sein kann. Allerdings...

gbpa005 08. Aug 2020

Irgendwie geht is immer noch dämlicher. Wieso muss alles ins Netz, ohne Sinn und Verstand?



Aktuell auf der Startseite von Golem.de
IT-Jobs
Arbeitsplätze mit Wohlfühlgarantie

Top-IT-Arbeitgeber 2023 Gefragte IT-Fachkräfte können sich den Arbeitgeber aussuchen. Manager versuchen, ihre Mitarbeiter mit einer möglichst ausgewogenen Work-Life-Balance an das eigene Unternehmen zu binden.
Von Andreas Schulte

IT-Jobs: Arbeitsplätze mit Wohlfühlgarantie
Artikel
  1. Autonomes Fahren: Tesla kehrt zu Radarsensoren zurück
    Autonomes Fahren
    Tesla kehrt zu Radarsensoren zurück

    Erst angeblich unnötig, jetzt kommen sie doch wieder: Tesla will wieder Radarsensoren verbauen und verlässt sich nicht mehr auf die reine Kameraerkennung.

  2. Datenschutz: Meta darf Nutzerdaten nicht für Werbung verwenden
    Datenschutz
    Meta darf Nutzerdaten nicht für Werbung verwenden

    Den Meta-Diensten Facebook, Instagram und Whatsapp droht eine hohe Geldstrafe wegen jahrelanger Verstöße gegen die DSGVO.

  3. Grafikkarten: Die Geforce GTX 1060 belegt nicht mehr Platz 1 auf Steam
    Grafikkarten
    Die Geforce GTX 1060 belegt nicht mehr Platz 1 auf Steam

    Nvidia hat seit langem keine wirklich günstigen Grafikkarten mit neuem Chipdesign herausgebracht. Deshalb ist der neue Platz 1 auch älter.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Asus RTX 4080 1.689,90€, MSI 28" 4K 579€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Alternate: Acer Gaming-Monitor 27" 159,90€, Razer BlackWidow V2 Mini 129,90€ • 20% Extra-Rabatt bei ebay • Amazon Last Minute Angebote [Werbung]
    •  /