Der unter anderem in Hotels und auf Flughäfen verbreitete humanoide Roboter "Pepper" des Herstellers Softbank Robotics ist erschreckend leicht zu hacken. Das haben skandinavische Forscher Ende Mai mitgeteilt.
Zu den gravierenden Sicherheitsmängeln, die Alberto Giaretta von der Örebro University sowie Michele de Donno und Nicola Dragoni von der Technischen Universität Dänemark ausgemacht haben, gehört zum Beispiel ein einfaches Web-Interface für administrative Aufgaben. Der Zugriff erfolgt dabei per ungesicherter HTTP- statt verschlüsselter HTT-PS-Verbindung, sodass Angreifer leicht Informationen wie Standardnutzer-Zugangsdaten stehlen können.
Zudem nutzt Pepper ein Standardpasswort für Root-Rechte, das nur relativ schwer zu ändern ist. In vielen Fällen könnte ein Angreifer nach einem Login als normaler User also ganz leicht volle Zugriffsrechte auf den Roboter erlangen. Auch ein Brute-Force-Angriff funktioniert.
Für die Payment-Branche ist diese Meldung zum einen deswegen interessant, weil der niedliche Roboter von Kartenorganisationen gern als Paradebeispiel für neue Payment-Szenarien genutzt wurde, die sich in der digitalen Welt entwickeln könnten und wohl auch werden. Mastercard etwa demonstrierte gemeinsam mit der Restaurantkette Pizza Hut, wie Kunden beim Roboter bestellen und auch gleich bezahlen können.
Es geht aber um weit mehr: Denn die Anfälligkeit des nicht nur bei den Kartenorganisationen so beliebten Roboters ist ein Indiz dafür, wie schlecht gesichert viele Geräte im Internet der Dinge sind. Dass die Defizite von "Pepper" den Forschern zufolge relativ leicht zu beheben sein dürften, ist dabei nur ein schwacher Trost.
Hier nachzubessern, hieße lediglich ein Loch von vielen zu stopfen. Denn man muss wohl davon ausgehen, dass sich die Hacker in dem Maße, in dem das Internet der Dinge Realität wird, verstärkt auf die Möglichkeiten konzentrieren werden, die die neuen Anwendungen für die kriminelle Szene mit sich bringen. Die 2-Faktor-Authentifizierung, wie sie die PSD2 vorschreibt, ist vor diesem Hintergrund nur zu berechtigt.
Es geht aber nicht nur um Kühlschränke oder Fahrzeuge, die selbstständig Leistungen buchen und bezahlen können. Unsicher ist in der schönen neuen Welt auch noch manches andere. Dass Banken und Sparkassen beim "Voice Banking" bislang noch sehr zurückhaltend sind und im Grunde nicht mehr als harmlose Abfragen ermöglichen, aber keine Transaktionen, ist deshalb als absolut richtig zu bewerten.
Natürlich wäre es bequem, allein per Sprachbefehl eine Überweisung oder eine Wertpapiertransaktion zu veranlassen. Die Sicherheit bliebe dann aber wohl auf der Strecke - selbst wenn die Spracherkennung zuverlässig funktioniert. Das Beispiel der US-amerikanischen Familie, deren Unterhaltung von einem smarten Lautsprecher aufgezeichnet und verbreitet wurde, zeigt, dass auch hier Missverständnisse mehr als Fiktion sind und deutsche Verbraucher aus gutem Grund eher skeptisch sind, was vernetzte Geräte angeht. Red.