• IT-Karriere:
  • Services:

Thermomix-Klon: Küchenmaschine von Hofer und Aldi mit Sicherheitslücke

Die Maschine kann ferngesteuert und beschädigt werden. Ein Forscherteam rät daher, das Gerät ohne die WLAN-Funktion zu verwenden.

Artikel veröffentlicht am ,
Die betroffene Küchenmaschine von Aldi.
Die betroffene Küchenmaschine von Aldi. (Bild: Aldi)

Ein Forscher-Team an der Fachhochschule Oberösterreich hat eine Sicherheitslücke in einer Küchenmaschine mit Koch- und WLAN-Funktion entdeckt. Die Maschine ähnelt dem bekannteren Thermomix von Vorwerk und wurde unter den Namen Ambiano oder Quigg bei Hofer und Aldi verkauft. Über einen Knopf an der Maschine kann die WLAN-Funktion aktiviert werden, über welches die Maschine per App ferngesteuert werden kann.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. Bundeskriminalamt, Wiesbaden

Diese Verbindung lässt sich jedoch leicht übernehmen, wie Florian Hehenberger, Markus Zeilinger und Dieter Vymazal herausgefunden haben. Auf diese Weise lasse sich das Gerät fernsteuern oder möglicherweise sogar zerstören. Das funktioniert nur in der Reichweite des WLANs und nur, wenn dieses zuvor aktiviert wurde. Zudem deaktiviert die Küchenmaschine das WLAN im Standby-Modus oder wenn sie ausgeschaltet wird. Nachdem Hofer die Sicherheitslücke innerhalb von drei Monaten nach einem Hinweis durch das Forscher-Team nicht behoben hatte, veröffentlichte dieses die Sicherheitslücke und die Beschreibung ihres Proof of Concepts (PoC).

Das aufgespannte WLAN der Küchenmaschinen beginnt laut dem Forscher-Team immer mit der Zeichenkette "KM2017Wi". Nach dieser scannte das Team mit einem Script, das zu einem späteren Zeitpunkt veröffentlicht werden soll, und startete einen Verbindungsversuch. Da die Küchenmaschine immer nur eine WLAN-Verbindung zulässt, muss eine eventuell bereits bestehende Verbindung mit einem Deauth-Befehl getrennt werden. Der Befehl ist Teil des WLAN-Standards 802.11 und fordert ausgewählte oder alle Geräte dazu auf, ihre Verbindung mit einem WLAN zu trennen. Laut der Bundesnetzagentur ist der Einsatz solcher Deauther jedoch "nicht zulässig".

Erhitzen aus der Ferne

Besteht keine Verbindung (mehr) mit der Küchenmaschine, kann über das ungeschützte WLAN eine Verbindung hergestellt werden. Anschließend kann die Maschine ferngesteuert und beispielsweise erhitzt werden. Ein Heizvorgang sei eigentlich nur erlaubt, wenn auch die Rühreinheit des Gerätes aktiv ist und bis zu einer Zieltemperatur von 120°C möglich. Diese Beschränkungen konnten die Forscher jedoch umgehen und die Temperatur bis auf 140°C erhöhen, ohne dass die Rühreinheit aktiv war.

Auch sei eine Beschädigung des Gerätes möglich, wenn bei voller Drehzahl alle 1,5 Sekunden die Drehrichtung gewechselt werde. "Um unser Testgerät nicht tatsächlich zu beschädigen, haben wir dies nicht umfangreich getestet. Wir gehen aber davon aus, dass dieses Vorgehen über kurz oder lang zu einer mechanischen Beschädigung der Küchenmaschine führt", erklärten die Wissenschaftler. Eine Lösung der Schwachstelle ist derzeit nicht in Sicht, die Forscher empfehlen derweil, "die WLAN-Funktion der Küchenmaschine nicht zu aktivieren und damit auf die Fernsteuerung mittels App zu verzichten."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 299,99€ (Release 10.11.)
  2. 499,99€ (Release 10.11.)
  3. Temperatur-Höhe wird zum Rabatt - bis 25 Prozent
  4. 64,90€

OnlyXeno 10. Aug 2020 / Themenstart

Ist nicht Aufgabe von Aldi sich darum zu Kümmern. Es ist Aufgabe des Herstellers. Aldi...

swegmann... 09. Aug 2020 / Themenstart

allen ernstes warum sollte ich dem hersteller eines geräts eine wanze in meinem netz...

IchBIN 08. Aug 2020 / Themenstart

Och, ich denke schon, dass so eine Maschine praktisch/hilfreich sein kann. Allerdings...

gbpa005 08. Aug 2020 / Themenstart

Irgendwie geht is immer noch dämlicher. Wieso muss alles ins Netz, ohne Sinn und Verstand?

Kommentieren


Folgen Sie uns
       


    •  /