Er soll selbst Anfänger zu Profiköchen machen – und ist mit 359 Euro wesentlich günstiger als ein Thermomix. Doch der smarte Küchenhelfer "Monsieur Cuisine connect" hat auch das Potenzial zum Spion. Die Sicherheitsmängel des Schnäppchen-Gerätes kamen jetzt nach seinem Verkaufsstart bei Lidl in Frankreich ans Licht.
Die Maschine verfügt über ein eingebautes Tablet: Mit dem Bildschirm können sich Nutzer Schritt für Schritt durch Rezepte führen lassen; ein WLAN-Modem ermöglicht es, neue Rezepte aus dem Internet herunterzuladen.
Aus Spaß hatten die zwei französischen IT-Bastler Alexis Viguié und Adrien Albisetti versucht, den Computer zu hacken, mit dem die Küchenmaschine gesteuert wird. Es funktionierte: Sie installierten darauf den Ego-Shooter "Doom" – ein Computerspiel, das auf vielen technischen Geräten laufen kann.
Veraltete Software und ein verstecktes Mikrofon
Neben der an sich schon besorgniserregenden Tatsache, dass der Hack des "Monsieur Cuisine connect" so leicht gelang, entdeckten die beiden beim Zerlegen vor allem zwei Sicherheitslücken: zum einen das veraltete Betriebssystem Android 6 von Oktober 2015, für das es keine Updates mehr gibt. Und zum anderen ein verstecktes Mikrofon – von dessen Existenz in der 38-seitigen Bediendungsanleitung kein Wort steht.
Wie das französische Online-Magazin "Numerama" berichtet, hat Lidl den Einbau des Mikros bestätigt. Es sei jedoch inaktiv und könne auch nicht von Seiten der Kunden aktiviert werden – außer durch massive Manipulation, für die man Spezialkenntnisse benötige. "Diese Option ist in das Gerät eingebaut worden, um zukünftige Entwicklungen wie die Steuerung durch Sprachbefehle zu erlauben. Der Kunde wird die Möglichkeit haben, sich für oder gegen die Aktivierung einer solchen Funktion entscheiden zu können", heißt es in dem Bericht weiter. Dies sei aber aktuell noch kein Thema.
Fehlende Transparenz gegenüber den Kunden
"Numerama" betont, das Unternehmen wolle offensichtlich nicht aus der Distanz auf das Mikrofon zugreifen und die Nutzer des Geräts ausspionieren. Das Problem sei aber, dass eine Aktivierung aus der Ferne grundsätzlich technisch möglich sei – und dass dies nicht transparent vermittelt worden sei.
Die Wahl der veralteten Software begründet Lidl in einem Statement gegenüber dem Portal "netzwelt" damit, dass man auf ein bereits ausgereiftes Android-System gesetzt habe, das für viele smarte Küchengeräte verwendet werde – um mögliche Schwachstellen von neueren Systemen zu vermeiden. Die eingesetzte Version Android 6.0 sei mit den neuesten Sicherheitsupdates ausgestattet und enthalte ein zusätzliches "Secure-Element".
Gefahr von Hackerangriffen und Schadsoftware
Dennoch: "Numerama" warnt vor der Möglichkeit von Hackerangriffen und Spionage. Ein IT-Spezialist gab gegenüber dem "Handelsblatt" die Einschätzung, dass Hobbyköche zwar nicht in aktuter Gefahr seien, da sich der "Monsieur Cuisine connect" normalerweise nicht frei im Internet bewege und Nutzer keine Apps installieren oder Webseiten öffnen könnten. Es sei aber zum Beispiel durch ein manipuliertes Kochbuch theoretisch möglich, dass Hacker Schadsoftware einspielen.
Desweiteren gibt der Experte zu bedenken, dass viele Hersteller von smarten Geräten allzu sorglos mit der IT-Sicherheit umgehen. Dies könne auch eine Gefahr für die Allgemeinheit darstellen, etwa wenn Kriminelle schlecht gesicherte PCs kapern und zu sogenannten Botnetzen zusammenschließen, die ganze Webseiten attackieren können. Laut dem "Handelsblatt" hat die Bundesnetzagentur erklärt, den Fall des Thermomix-Klons zu prüfen.
Weiterlesen auf oekotest.de: