• IT-Karriere:
  • Services:

Thermomix-Klon: Küchenmaschine von Hofer und Aldi mit Sicherheitslücke

Die Maschine kann ferngesteuert und beschädigt werden. Ein Forscherteam rät daher, das Gerät ohne die WLAN-Funktion zu verwenden.

Artikel veröffentlicht am ,
Die betroffene Küchenmaschine von Aldi.
Die betroffene Küchenmaschine von Aldi. (Bild: Aldi)

Ein Forscher-Team an der Fachhochschule Oberösterreich hat eine Sicherheitslücke in einer Küchenmaschine mit Koch- und WLAN-Funktion entdeckt. Die Maschine ähnelt dem bekannteren Thermomix von Vorwerk und wurde unter den Namen Ambiano oder Quigg bei Hofer und Aldi verkauft. Über einen Knopf an der Maschine kann die WLAN-Funktion aktiviert werden, über welches die Maschine per App ferngesteuert werden kann.

Stellenmarkt
  1. freiheit.com technologies, Hamburg
  2. GRAPHISOFT Deutschland GmbH, Nürnberg,München

Diese Verbindung lässt sich jedoch leicht übernehmen, wie Florian Hehenberger, Markus Zeilinger und Dieter Vymazal herausgefunden haben. Auf diese Weise lasse sich das Gerät fernsteuern oder möglicherweise sogar zerstören. Das funktioniert nur in der Reichweite des WLANs und nur, wenn dieses zuvor aktiviert wurde. Zudem deaktiviert die Küchenmaschine das WLAN im Standby-Modus oder wenn sie ausgeschaltet wird. Nachdem Hofer die Sicherheitslücke innerhalb von drei Monaten nach einem Hinweis durch das Forscher-Team nicht behoben hatte, veröffentlichte dieses die Sicherheitslücke und die Beschreibung ihres Proof of Concepts (PoC).

Das aufgespannte WLAN der Küchenmaschinen beginnt laut dem Forscher-Team immer mit der Zeichenkette "KM2017Wi". Nach dieser scannte das Team mit einem Script, das zu einem späteren Zeitpunkt veröffentlicht werden soll, und startete einen Verbindungsversuch. Da die Küchenmaschine immer nur eine WLAN-Verbindung zulässt, muss eine eventuell bereits bestehende Verbindung mit einem Deauth-Befehl getrennt werden. Der Befehl ist Teil des WLAN-Standards 802.11 und fordert ausgewählte oder alle Geräte dazu auf, ihre Verbindung mit einem WLAN zu trennen. Laut der Bundesnetzagentur ist der Einsatz solcher Deauther jedoch "nicht zulässig".

Erhitzen aus der Ferne

Besteht keine Verbindung (mehr) mit der Küchenmaschine, kann über das ungeschützte WLAN eine Verbindung hergestellt werden. Anschließend kann die Maschine ferngesteuert und beispielsweise erhitzt werden. Ein Heizvorgang sei eigentlich nur erlaubt, wenn auch die Rühreinheit des Gerätes aktiv ist und bis zu einer Zieltemperatur von 120°C möglich. Diese Beschränkungen konnten die Forscher jedoch umgehen und die Temperatur bis auf 140°C erhöhen, ohne dass die Rühreinheit aktiv war.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Auch sei eine Beschädigung des Gerätes möglich, wenn bei voller Drehzahl alle 1,5 Sekunden die Drehrichtung gewechselt werde. "Um unser Testgerät nicht tatsächlich zu beschädigen, haben wir dies nicht umfangreich getestet. Wir gehen aber davon aus, dass dieses Vorgehen über kurz oder lang zu einer mechanischen Beschädigung der Küchenmaschine führt", erklärten die Wissenschaftler. Eine Lösung der Schwachstelle ist derzeit nicht in Sicht, die Forscher empfehlen derweil, "die WLAN-Funktion der Küchenmaschine nicht zu aktivieren und damit auf die Fernsteuerung mittels App zu verzichten."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 499€ neuer Bestpreis auf Geizhals
  2. (u. a. Stellaris - Galaxy Edition für 4,19€, Stellaris - Distant Stars Story Pack (DLC) für 2...
  3. 3.999€ statt 4.699€
  4. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...

OnlyXeno 10. Aug 2020

Ist nicht Aufgabe von Aldi sich darum zu Kümmern. Es ist Aufgabe des Herstellers. Aldi...

swegmann... 09. Aug 2020

allen ernstes warum sollte ich dem hersteller eines geräts eine wanze in meinem netz...

IchBIN 08. Aug 2020

Och, ich denke schon, dass so eine Maschine praktisch/hilfreich sein kann. Allerdings...

gbpa005 08. Aug 2020

Irgendwie geht is immer noch dämlicher. Wieso muss alles ins Netz, ohne Sinn und Verstand?


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /