Im Rahmen unseres Saugroboter-Vergleichstests haben wir im AV-TEST IoT-Labor vier aktuelle Vertreter gewählt, um sie dem Testprozess zu unterziehen und damit das Sicherheitsniveau in dieser Produktkategorie realistisch bewerten zu können. Als erster Vertreter geht dabei der 360 Eye vom namhaften, britischen Hersteller Dyson an den Start.  Als eines der Geräte, die zusätzlich zu einer Vielzahl anderer Sensoren auch mit einer Kamera ausgestattet sind, wird der Dyson Roboter natürlich besonders kritisch betrachtet, wenn es um das Thema Sicherheit und Privatssphäre geht – Eine Schwachstelle im Sicherheitskonzept könnte den Sauger zum perfekten Spion für Angreifer machen!

Der nachfolgende Bericht soll zeigen, ob diese Befürchtungen im Falle des Dyson 360 Eye berechtigt sind oder ob das Gerät alle Tests mit britischer Gelassenheit bestehen konnte.

 

Applikation

Die mobilen Applikationen zum Dyson 360 Eye machten im Test einen durchaus soliden Eindruck: Der Quellcode der Android-App (com.dyson.mobile.android; v4.4.18460) ist zu einem hohen Grad obfuscated und auch die statische Analyse desselbigen brachte keine offensichtlichen, kritischen Schwachstellen zum Vorschein. In den Assets der Applikation konnten wir ein Dyson Root-Zertifkat ausfindig machen, dieses war allerdings durch ein Passwort geschützt, was auch an keiner Stelle im Quellcode offen hard-coded zu finden war.

Auch sonst gab es bei den Dyson Applikationen keine wirklichen Punkte zur Kritik. Die Implementation von sicherheitsrelevanten Funktionalitäten, wie Login und Datenübertragung, sind ohne offensichtliche Schwachstellen und auf aktuellen Stand. Außerdem legt die App auch keine unverschlüsselten Logs oder Ähnliches ab und bietet damit auch hier keine wirklichen Ansatzpunkte für Schwachstellen.

 

Lokal- und Online-Kommunikation

Für die Kommunikation zur Cloud kommen beim Dyson-Roboter ausschließlich verschlüsselte TLS-Verbindungen in ausreichend aktueller Version zum Einsatz. Diese sind außerdem adäquat gegen standardmäßige Man-in-the-Middle-Angriffe abgesichert, sodass ein Mitlesen oder Manipulieren von Daten auf dem Übertragungsweg praktisch ausgeschlossen werden kann.

Für die lokale Kommunikation zwischen App und Roboter über WLAN wird das sogenannte Message Queuing Telemetry Transport Protokoll (MQTT) verwendet. Dieses Protokoll ist standardmäßig unverschlüsselt und so war es auch im Test möglich die Befehle an den Roboter mitzulesen und über ein Replay Roboterfunktionen ausführen zu lassen. Der Angreifer muss zur Ausnutzung dieser Möglichkeit allerdings im selben lokalen Netz wie der Roboter sein. Das Gefahrenpotential hält sich also durchaus in Grenzen. Da dieser Umstand aber trotzdem theoretisch einige Angriffsszenarios ermöglicht, nehmen wir an dieser Stelle für eine ungesicherte lokale Kommunikation eine Abwertung vor.

 

Unverschlüsselte Kommunikation über MQTT (Beispiel: Start Saugvorgang)

 

Nicht direkt eine Schwachstelle, aber trotzdem anmerkungswürdig: Der Portscan des Roboters ermittelte einen offenen UDP-Port, obwohl wir im Testbetrieb keinen Verkehr über dieses Protokoll festellen konnten.

Abgesehen davon gibt es aber am Kommunikationsverhalten des Dyson Produktes inklusive Applikationen nichts auszusetzen.

 

Datenschutz

In puncto Datenschutz sollten sich andere Hersteller an Dyson ein Beispiel nehmen. Es wird dem Interessenten oder Kunden sowohl eine einfache, übersichtliche, als auch eine vollständige Datenschutzerklärung angeboten. Die einfache Kurzversion informiert in kurzen Sätzen über die wichtigsten Themen wie „Welche personenbezogenen Daten erheben wir“ oder „Wie speichern wir Ihre personenbezogenen Daten?“.

Die in mehreren Sprachen verfügbare, vollständige Datenschutzerklärung erwähnt mehrfach, dass nur so wenig Daten, wie unbedingt notwendig aufgezeichnet werden. Anonymisierte Daten werden neben Produktverbesserung auch für Statistiken genutzt, weiterhin für Direktwerbung mit möglicherweise interessanten Produkten des Herstellers.

Das einzige Manko bildet der Punkt, dass in der getesteten App-Version die Datenschutzerklärung erst NACH Account-Erstellung zugänglich ist. Dies sollte sich aber durch Dyson einfach beheben lassen.

 

Fazit

Der 360 Eye von Dyson überzeugt im Test durch eine sehr solide Vorstellung: Applikation und Gerät hinterlassen bei den Testern einen sehr guten Eindruck im Hinblick auf ihre Sicherheit. Besonders im Bereich Datenschutz zeigt sich das Produkt durch eine sehr zurückhaltende Datensammlung und eine vorbildliche Datenschutzerklärung beispielhaft. Für die ungeschützte und leicht manipulierbare Kommunikation im lokalen Netzwerk müssen wir einen Stern abziehen, der aber das Gesamtbild nicht schwerwiegend trübt. Insgesamt eine sehr solide Vorstellung des britischen Vertreters in diesem Segment und damit gute 2 von 3 Sternen.