Aufstand der Lego-Roboter

Wenn das Internet of Things weiter um sich greift, werden jede Menge intelligente Steuerungen in den Haushalten zu finden sein. Einen Vorgeschmack auf die Auswirkungen erhielt jetzt ein deutsches Forschungsinstitut.

Dort werden die Steuerungseinheiten von Lego-Robotern für verschiedene Projekte genutzt. Die Lego-Steuerung läuft auf einem ARM-Rechner mit Linux. Die Forscher schlossen sie mit WLAN-Sticks ans lokale Netz an. Was sie nicht wussten: Lego hat die Steuercomputer nicht abgesichert. Es gibt darauf einen Telnet-Zugang, der dem Angreifer ohne Passwort gleich root-Rechte gibt. Kann das wirklich stimmen? Admin-Zugang über ein völlig ungesichertes Telnet? Na klar kann das stimmen: Das Robotics Lab der Universität Straßburg bestätigt diese gravierende Sicherheitslücke. Und wenn ich es recht bedenke, so selten ist sind ungesicherte Telnet-Zugänge gar nicht.

Sowas ist sogar schon bei lebenswichtiger Medizintechnik vorgekommen. Im aktuellen Fall wurden die Lego-Roboter bei einem kriminellen Portscan als Ziele identifiziert und mit Malware infiziert. Diese begann ihrerseits mit weiteren aggressiven Portscans – und löste damit einen Alarm beim Provider des betroffenen Instituts aus. Die Forscher klemmten daraufhin ihre Lego-Steuerungen vom Netz ab und verbanden sie statt dessen mit einem lokalen Access Point.