Und tschüss ...

Hacker entführen selbstfahrenden Robo-Koffer

Im Internet der Dinge tummeln sich vernetzte Geräte, die man sich noch vor ein paar Jahren nicht hätte vorstellen können - etwa selbstfahrendes Robo-Handgepäck. Ein Bluetooth-Armband am Besitzer teilt diesem auf Reisen mit, wem es zu folgen hat. Doch das klappt nur, solange Hacker den Robo-Koffer nicht kapern, fanden Security-Profis von Pen Test Partners heraus.

Die IT-Sicherheitsforscher sorgten schon früher mit aufsehenerregenden Hacks smarter Geräte für Aufsehen - mit Bluetooth-Vibratoren zum Beispiel. Dieses Mal sahen sie sich den Bluetooth-Koffer mit Akku und Motor näher an - und entdeckten prompt eine verheerende Sicherheitslücke.

Der Robo-Koffer Airwheel SR5 erlaubt die gleichzeitige Kopplung zweier Bluetooth-Geräte. Neben dem Bluetooth-Armband des Besitzers ist flugs noch das Smartphone eines Hackers damit verbunden, der über die Begleit-App die Kontrolle übernehmen und den Koffer wie ein ferngesteuertes Auto davonfahren lassen kann. Das Passwort war schnell erraten: Es handelt sich um die unveränderlich einprogrammierte Zahlenfolge 11111111.

Unter der Marke Airwheel vertreibt der Hersteller motorisierte Koffer mit Akku. Der SR5 (hinten) fährt seinem Besitzer nach. Es gibt aber auch Modelle, die man reiten kann.

(Bild: airhweel.net)

Pen Test Partners hat eine Videodemonstration veröffentlicht, die zeigt, wie erschreckend einfach der 650-Euro-Koffer, der auch ohne Inhalt schon sechs Kilogramm wiegt, von Dritten übernommen werden kann. Dagegen ist die außerdem entdeckte Sicherheitslücke, über manipulierte Firmware Schadcode einzuschleusen, vergleichsweise schwer auszunutzen.

Offizielles Produktfoto des Herstellers: Unter der Marke Airwheel werden auch per Smartphone steuerbare Rollstühle verkauft.

(Bild: airhweel.net)

Hersteller baut auch fernsteuerbare Rollstühle
Besonders fatal erscheint den IT-Sicherheitsforschern, dass der Hersteller auch per App steuerbare Rollstühle in seinem Sortiment hat. So einer ist für jemanden, der auf einen solchen angewiesen ist, zwar praktisch, weil er ihn mit dem Smartphone zu sich rufen kann. Es besteht allerdings auch das Risiko, dass Dritte den App-gesteuerten Rollstuhl kapern.