Ecovacs Deebot: Angreifer können beliebigen Code einschleusen

Schwachstellenbeschreibungen vom Wochenende erörtern teils hochriskante Sicherheitslücken in Staubsaugerrobotern aus dem Hause Ecovacs. Für die betroffenen Deebot-Modelle stehen bereits seit einiger Zeit Updates bereit, die die Sicherheitslecks abdichten. Besitzer sollten sicherstellen, die Basisstationen und Saugroboter auf den aktuellen Stand zu bringen.

Die US-amerikanische IT-Sicherheitsbehörde CISA hatte bereits im Juli eine aktualisierte Sicherheitsmitteilung veröffentlicht, die die Schwachstellen beschreibt. Die gravierendste Schwachstelle betrifft die Basisstationen der Saugroboter. Diese validieren Firmware-Updates nicht, sodass bösartige Over-the-Air-Updates sich über eine unsichere Verbindung zwischen Saugroboter und Basisstation an die Basis schicken lassen (CVE-2025-30199 / EUVD-2025-27021, CVSS4 8.6, Risiko „hoch„).

Zwei weitere Schwachstellen erhalten eine niedrigere Risikoeinstufung. Einmal nutzen die Ecovacs-Geräte einen hartkodierten kryptografischen Schlüssel, mit dem Roboter und Basis eine WPA2-PSK-geschützte WLAN-Verbindung untereinander aufbauen – der Schlüssel lässt sich einfach aus der Geräte-Seriennummer ableiten (CVE-2025-30198 / EUVD-2025-27020, CVSS4 5.3, Risiko „mittel„). Dasselbe gilt aber auch für eine AES-verschlüsselte Verbindung zwischen den Geräten (CVE-2025-30200 / EUVD-2025-27023, CVSS4 5.3, Risiko „mittel„).

Schwachstellen länger bekannt

Die Schwachstellen wurden bereits initial am 8. Mai von Ecovacs gemeldet. Im Juli standen dann für betroffene Geräte Firmware-Updates bereit. In den Fassungen 2.5.38 für X1S Pro und X1 Pro Omni, 2.4.45 für den X1 Omni und Turbo, 1.11.0 für die T10-Baureihe, 1.25.0 für die T20-Reihe und 1.100.0 für die T30-Baureihe der Deebot-Saugroboter und -Basisstationen sind die aufgelisteten Fehler korrigiert. Zum Wochenende wurden nun die CVE-Schwachstelleneinträge veröffentlicht.

Normalerweise sollte das automatische Update die entsprechenden Firmwares bereits angeboten haben. Wer die Updates noch nicht installiert hat, sollte das jedoch umgehend nachholen.

Gegen Ende 2024 kam es zu Übernahmen, insbesondere von Ecovacs-Staubsaugerrobotern in den USA. Die Angreifer haben über die eingebauten Lautsprecher schreiend Obszönitäten und rassistische Beschimpfungen abgespielt.

(dmk)