Schon mal darüber nachgedacht, ob Ihre Küchenmaschine Sie unbemerkt abhören könnte? Oder Teil eines Botnetzes werden kann? Wenn Sie einen Thermomix-Klon von Lidl zu Hause haben, könnte Ihnen genau das passieren.

Mehr Digitalthemen finden Sie hier

Wer sich Amazons Alexa, Apples Siri oder Googles Assistant in die Wohnung stellt, weiss zumeist, worauf er oder sie sich einlässt. Um korrekt zu funktionieren und stets einsatzbereit zu sein, sperren die Geräte allzeit ihre Lauscher auf. Sprich: Das Mikrofon muss an sein, damit die Dienste ihren Zweck erfüllen können.

Wer sich dagegen den Thermomix-Verschnitt von Lidl zulegt, rechnet nicht mit einem potenziellen Lauschangriff. Doch genau das ist zumindest theoretisch mit dem Gerät möglich, wie zwei Franzosen herausgefunden haben.

Der "Monsieur Cuisine Connect" von der Firma Silvercrest wird in China hergestellt und in Deutschland, Österreich, der Schweiz, Frankreich, Belgien und Grossbritannien vertrieben. Mit 299 Euro ist das Gerät deutlich günstiger als das Original von Vorwerk: Für das aktuelle Modell TM6 müssen Kunden rund 1.000 Euro mehr hinblättern. Entsprechend euphorisch wurde die Lidl-Küchenmaschine von Kunden aufgenommen.

Die beiden Systemadministratoren Alexis Viguié und Adrien Albisetti haben das Gerät daraufhin aus Spass gehackt - und unverhofft ein veritables Datenschutzproblem entdeckt. Das französische Computermagazin "Numerama" hatte als erstes darüber berichtet.

So ein Thermomix ist schon eine feine Sache - wenn da nur der hohe Preis nicht wäre. Doch wer nicht ganz so hohe Ansprüche an die Funktionalität der Geräte hat, kann sehr wohl eine günstige Alternative zum Thermomix finden.

Das grösste Problem: Veraltete Software

Am Anfang stand eine unter Hackern beliebte Challenge: Schafft man es, auf einem Gerät das 1990er-Jahre-Ballerspiel "Doom" zu installieren? Der Ego-Shooter hat so geringe Systemanforderungen, dass er sich auf Druckern, Geldautomaten oder sogar dem Infotainment-System des Porsche 911 spielen lässt.

Aber auf einer Küchenmaschine? Ja, auch das geht, wie Viguié und Albisetti in einem Video demonstrieren. Die beiden IT-Spezialisten hatten auf GitHub eine Anleitung dafür entdeckt, auf dem "Monsieur Cuisine connect" eine Vollversion von Android 6.0 aufzuspielen, damit es sich wie ein normales Tablet nutzen lässt.

Der Thermomix-Klon von Lidl läuft ab Werk unter Android 6 Marshmallow, das im Oktober 2015 veröffentlicht wurde. Damit man Rezepte aus dem Netz herunterladen kann, hat das Gerät eine WLAN-Funktion. Genau die macht es in Kombination mit dem veralteten Betriebssystem anfällig für Angriffe: Es könnte mit Malware infiziert oder in ein Botnetz integriert werden.

Monsieur Cuisine connect Hack

Alexis Viguié und Adrien Albisetti haben Lidls Thermomix-Klon gehackt. © YouTube

Lidl Deutschland teilte auf Anfrage von "Netzwelt" mit, man habe bei der Entwicklung des Geräts "gezielt auf ein bereits ausgereiftes Android-System gesetzt, um so mögliche Schwachstellen von neueren Systemen zu vermeiden."

Viele andere handelsübliche smarte Küchenprodukte wie Kühlschränke verwendeten ebenfalls ältere Betriebssysteme. Zudem sei der "Monsieur Cuisine connect" mit den neuesten Sicherheitsupdates ausgestattet.

Viguié und Albisetti wiesen jedoch nach, dass der letzte installierte Sicherheitspatch von 2017 stammt. Google lieferte das letzte Update für Marshmallow 2018 aus. Aktuell schraubt das Unternehmen an Version 10 seines mobilen Betriebssystems namens Android Q, das im dritten Quartal 2019 erscheinen soll.

Verstecktes Mikro, das sich aktivieren lässt

Als die beiden IT-Experten den Thermomix-Klon auseinanderbauten, fanden sie zudem ein Mikrofon. Es wird nirgends beschrieben und taucht auch in der Betriebsanleitung des "Monsieur Cuisine connect" nicht auf. Viguié und Albisetti zufolge dürfte es zwar standardmässig ausgeschaltet sein, liess sich in einem Test jedoch aktivieren.

Monsieur Cuisine connect - Mikro-Test

Alexis Viguié und Adrien Albisetti gelang es, das Mirkofon zu aktivieren. © YouTube

Lidl teilte mit, im Gerät sei ein handelsübliches Tablet verbaut. Das Mikrofon sei Teil der Hardware, aber deaktiviert. Es sei vorinstalliert, um zukünftige Entwicklungen wie eine Sprachsteuerung zu ermöglichen.

Das Unternehmen beteuerte: "Lidl will und kann nicht aus der Ferne auf das Mikrofon zugreifen." Es sei nur durch eine "massive technische Manipulation mit Spezialkenntnissen" möglich, das Mikrofon zu aktivieren. Dass es relativ einfach funktioniert, haben die beiden Franzosen Viguié und Albisetti allerdings bewiesen.

Verwendete Quellen:

  • Numerama.com: Monsieur Cuisine Connect : micro caché, Android non sécurisé… les dessous du robot cuiseur de Lidl
  • GitHub: Monsieur-Cuisine-Connect-Hack
  • Netzwelt.de: Monsieur Cuisine Connect: Lidl-Küchenmaschine mit verstecktem Mikrofon
  • Twitter-Account von Alexis Viguié
  • Twitter-Account von Adrien Albisetti
Bildergalerie starten

Apple WWDC: Mac Pro 2019, iOS13 und Mac Pro

Apple ist es ein weiteres Mal gelungen: Der Tech-Konzern hat seine Neuerungen bis zur offiziellen Vorstellung geheim halten und so für eine Überraschung gesorgt. Bei der Entwicklungskonferenz WWDC 2019 wurde nicht nur das neue iOS Catalina vorgestellt, sondern auch zahlreiche Software-Veränderungen bei den anderen Apple Geräten. Und nicht zuletzt ein neuer Mac Pro, für den die Nutzer allerdings tief in die Tasche greifen müssen.