Guter Saugroboter in punkto IT Sicherheit

[Lauch86]

Hallo zusammen,
wir möchten uns gerne einen Saugroboter anschaffen. Welche genau von den ganzen Verfügbaren taugen kann man ja zu hauf im Netz nachlesen. Es soll ein Laser der Kamera navigiertes Gerät werden.

Viele schwärmen von den Xiaomi Roborock Saugern. Da gefällt mir aber die Geschwätzigkeit zur Xiaomi Cloud nicht. Klar, man kann das Gerät so umkonfigurieren, dass das weitesgehend unterbunden wird. Allerdings geht dabei auch viel Komfort verloren. Ich möchte mich auch ungern stundenlang mit so einem Thema beschäftigen. Es ist schließlich nur ein Staubsauger.

iRobot kooperiert mit Google. Inwieweit das gut oder schlecht ist, weiss ich nicht.

Die Geräte von Dyson und Vorwerk sollen noch am wenigsten quasseln, kosten aber auch weit mehr als ich bezahlen möchte.

Ebenfalls gut bewertet wurden die Ecovacs Geräte, habt ihr da Erfahrungen in punkto Sicherheit und Datensammelei?
Gleiches gilt für den Eufy l70

Gesteuert soll ausschließlich zu Hause aus dem WLAN aber vom normalen Smartphone. Würde es nicht genügen dem Sauger den Weg nach draußen zu verbieten? Allerdings wäre da ja dann noch die App des Herstellers die ebenfalls sammeln dürfte... Fragen über Fragen.

 

[Pyrukar]

die Alten Xiaomi konnte man einfach Rooten und eine Neue Ubuntu Firmware aufspielen ... Dabei geht afaik nur wenig komfort verloren ... ansonsten wiedersprechen sich komfort und Datenschutz leider nur all zu regelmäßig. Google hat ihr ganzes Geschäftsmodell um Komfort aufgebaut und sammelt kräftiger Daten als irgendwer anders

 

[Lauch86]

Ist mir alles klar, auch ich besitze ein Android Smartphone und nutze Windows 10. Das alle irgendwie und irgendwo Daten sammeln, damit habe ich mich in 2020 abgefunden. Aber ein Saugroboter?

Ich scheue mich nicht davor den Robi zu rooten und da eine andere Firmware draufzuspielen welche dem Sauger die Chinacloud vorgaukelt. Aber es muss doch noch gute Geräte da draußen geben wo ich den Aufwand nicht betreiben muss.

 

[Sykehouse]

Alle, die du per App fernsteuern kannst, reden halt zwangsläufig mit irgend einer Cloud. Wenn du komfortmässig mit einem Einsteiger-Modell ohne Vernetzung leben kannst, dann greif da zu.

 

[Lauch86]

Hab jetzt durchs querlesen erfahren das der Ecovacs Deebot OZMO 950 recht gut sein soll, zumindest technisch. Ist euch bekannt das der Robi oder die App an irgendwelche Ecovacs Hosts funkt? Falls ja, könnte man das ja im Heimnetz durchaus unterbinden wenn man die Adressen kennt. Das Gerät soll wie gesagt nicht auf draußen gesteuert werden.

Edit: In einer Amazon Bewertung lese ich z. B. das die App NUR mit Internetverbindung funktioniert. Das würde ja nur Sinn machen wenn die App irgendwas irendwo synchronisiert.

 

[snaxilian]

Du machst eine kollossal falsche Annahme und verwechselst IT-Security bzw. die technische Absicherung von einem Gerät mit Datenschutz aber das sind zwei paar Dinge. Schon der erste Xiaomi Sauger hat mit "zuhause" ausschließlich per TLS 1.2 kommuniziert da haben die anderen Hersteller dieser Geräte gerade erst gelernt, wie man Cloud buchstabiert.
Wenn du also mehr Datenschutz willst nimm einen der Xiaomi Geräte für die es die alternative Firmware gibt und nutze diese. Teils hast dann sogar mehr Funktionen und zur Bedienung gibt es dann anstatt einer beliebigen App einen Webserver direkt auf dem Gerät. Erstbester gefundener Artikel dazu ohne Wertung und Primärquelle.

Vorwerk: Da verlinke ich einfach mal auf diesen Artikel und erspare mir jedweden weiteren Kommentar... https://www.heise.de/news/Vorwerk-V...Probleme-bei-Staubsaugerrobotern-4772894.html

Roomba: Hatte 2017 oder so angekündigt, die Grundrisse in $Cloud hochzuladen um daraus auf einem zweiten Wege weiteres Kapital zu schlagen. Wenn dann natürlich alles ganz anonym und pseudonomisiert und freiwillig mit opt-out oder so. Keine Ahnung hab das Thema damals nicht weiter verfolgt.

Ecovacs: Ich präsentiere dieses großartige Fundstück: https://robert.penz.name/1462/a-security-minded-guy-forced-to-buy-a-wifi-enabled-cleaning-robot/ demnach der Hersteller da weder Ahnung von IT-Security noch von Datenschutz hat^^ Zur Verteidung sei gesagt: Der Artikel ist ~3 Jahre alt und die meisten anderen Hersteller werden kaum besser sein.

Oft ist bei dem ganzen IoT Geraffel sowieso massenhaft White Label Zeug dabei, sprich 20 verschiedene Marken und Anbieter kaufen alle beim gleichen Hersteller ein, ändern etwas das Design der App sowie Gehäuse und Verpackung und fertig. Beispielhafte Analyse wenn auch auf Lampen bezogen und knapp 1,5 Jahre alt: https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

Grob kannst davon ausgehen, dass kein Hersteller IT-Sicherheit und Datenschutz ernst nimmt denn "der Markt" sieht dazu aktuell keinerlei Regulierung vor noch wird es von den meisten Konsumenten gefordert, im Gegenteil. Da ist möglichst simple und einfache Integration in Siri, Alexa und Co gefordert oder als Vorteil angesehen. Im Zweifelsfall steht das in den x Dutzend Seiten der AGBs drin, die sowieso 99,8% der Leute ungelesen abnicken.

Ebenso ist mir kein einziger Hersteller bekannt wo die App direkt mit dem Gerät spricht außer bei der Ersteinrichtung. Anschließend erfolgt immer der Weg über $Herstellercloud weil dies sehr viele Einrichtungsschritte erleichtert und es die Inbetriebnahme für den technisch weniger versierten Anwender sehr vereinfacht.

 

[Lauch86]

Naja IT Sicherheit und Datenschutz gehen m. M. n. schon Hand in Hand. Grundlegend sind es aber zwei Themen, ja. Der Blogpost über den Ecovacs Robi ist sehr interessant, ich glaube auch das das bei allen anderen Herstellern ähnlich aussieht. Und obgleich man das nicht 100% verhindern kann so kann man das ja zumindest einschränken. Den Robi als solches bekomme ich ja über den Router relativ easy geblockt. Aber ob er dann noch funktioniert wie er soll?!

Ich werde es wohl mal testen müssen...

 

[Lauch86]

Hier schonmal die Kommunikation sobald ich nur die Ecovacs App öffne:

portal.ecouser.net (116.62.93.217)
gl-de-api.ecovacs.com (47.91.65.136)
bigdata-china.ecovacs.cn (116.62.93.217)

Schon klar, dass das Kundenportal bei denen irgendwo gehostet wird aber den einen CNAME des Hosts 116.62.93.217 "bigdata..." finde ich schonmal cool.

Schauen wir mal wo was noch so hingeht sobald ich den Robi hier habe und mich bei denen registriert habe. Ich habe außerdem mal eine Mail zu Ecovacs geschickt mit der Bitte um Auskunft was für Daten erfasst werden. Das das alles TLS verschlüsselt rübergeht mag ja schön sein. Dennoch hätte ich gerne gewusst was für Daten rübergehen und was damit passiert.

 

[commandobot]

Mals als Hinweis aus dem Hauptthread über Saugroboter:

Bei den Saugroboter-Tests der Stiftung Warentest haben von den App-gesteuerten Modellen der Vorwerk Kobold VR300 sowie der Dyson 360 Eye als einzige "unkritisch" beim Thema Datenschutz abgeschnitten.
Alle anderen Modelle mit App als "kritisch", selbst das Modell von Miele (dessen Frontkamera aber in der App in Echtzeit übertragen werden kann, nette Spielerei ).
test.de/Saugroboter-im-Test-4806685-0/

Preislich liegen die beiden genannten Modelle aber selbst gebraucht bei >500-700€.
https://www.ebay.de/sch/i.html?_from=R40&_nkw=(VR300,360 Eye) (dyson,Vorwerk) &_sacat=0&LH_TitleDesc=0&LH_PrefLoc=3&_udlo=210&_oac=1&rt=nc&_udhi=770

 

[snaxilian]

Gehen vielleicht Hand in Hand und werden oft zusammen genannt und mindestens genauso häufig werden diese fälschlicherweise vermischt oder als Synonyme verwendet aber es sind trotzdem zwei verschiedene Dinge mit unterschiedlichen Zielen. Das wird z.B. hier oder hier erklärt.

Aber das Thema interessiert mich ebenfalls daher wäre es super, wenn du uns auf dem Laufenden halten könntest.

 

[Lauch86]

Mals als Hinweis aus dem Hauptthread über Saugroboter:

Ja, so liest man es im Netz. Aber wie es schon in dem Bericht steht, gehen die beiden Geräte preislich gut ab und können nicht wirklich mehr als die Anderen. Ich zahle gern etwas drauf, wenn der Datenschutz einigermaßen eingehalten wird. Aber etwas heißt nicht 300 €.

Ich habe mir jetzt den Deebot OZMO 950 und den Roborock S5 bestellt. Beim Deboot werde ich mal gucken wo was überall hingeht. Wenn mir das nicht gefällt und sich das nicht zu meiner Zufriedenheit einschränken lässt werde ich den Roborock Cloud-free betreiben. Linux VM ist schon bereit.

 

[snaxilian]

Roborock S5

Ich hoffe mal, du meinst damit den S50/S51/S55 und nicht den S5 Max denn letzterer ist afaik nicht mit Valetudo (der alternativen Firmware) kompatibel.

 

[Lauch86]

S5 Serie, kein Max. Alles gut.

 

[Lauch86]

Beide Roboter sind nun da. Beim Roborock hab ich ein Produktionsdatum von 10.2019. Laut Valetudo Quelle lassen sich Robis >= 09.2019 - möglicherweise - nicht flashen wegen neuerer Firmware. Bevor ich das Teil jetzt ungetestet zurückschicke, habt ihr ggf. valide Infos, dass es auch mit Roborocks nach 09.2019 klappt?

 

[S.a.M.]

mit der FloleVac App kannst du auch auf ne ältere Firmware flashen.
Zumindest bietet mir die App alle älteren Firmwareversionen zum Flashen an

 

[Lauch86]

mit der FloleVac App kannst du auch auf ne ältere Firmware flashen.
Zumindest bietet mir die App alle älteren Firmwareversionen zum Flashen an

Danke für den Tipp. Ich hatte von der FloleVac App gelesen aber mich nicht weiter damit beschäftigt. Verstehe ich das richtig, dass diese App nur über WLAN direkt mit dem Roboter kommunizert und keine Kommunikation mit Xiaomi Servern stattfindet? Folglich dürfte der Roborock weiter funktionieren, auch wenn die ext. Adressen geblockt werden welche direkt vom Roboter aus angefragt werden?

 

[S.a.M.]

bin mir ziemlich sicher, dass die App auch mit der Cloud kommuniziert, aber nicht sicher.

 

[Lauch86]

Den Deebot habe ich zurückgeschickt. Er hat leider unseren 1cm mittelflorigen Teppich nicht geschafft. Keine Ahnung wieso. Damit ist der für uns aber unbrauchbar. Weitere Recherche bzgl. Datenschutz habe ich jetzt nicht betrieben. Aber wenn beim blanken öffnen der App schon zwei Hosts kontaktiert werden wovon einer bigdata irgendwas heisst, seid euch gewiss, dass da noch mehr geht. Ein Statement von Ecovacs habe ich auch noch nicht.