Saugroboter des Herstellers Ecovacs aus der Modellreihe Deebot sammeln laut einem Bericht der australischen ABC neben Daten über die Wohnräume seiner Nutzer:innen auch Fotos, Videos und Audioaufnahmen. Diese Informationen sollen dazu genutzt werden, um die KI-Modelle des chinesischen Unternehmens zu trainieren.
Besonders brisant: ABC hatte in einer anderen Recherche auch gezeigt, dass der Roboter gehackt werden kann, wodurch Unbefugte theoretisch Zugang zu den Kameras erhalten und sogar in Echtzeit in Privathaushalte hineinschauen könnten. Obwohl das Problem bereits 2023 entdeckt und die Sicherheitslücke an Ecovacs gemeldet wurde, reagierte das Unternehmen über Monate nicht auf die E-Mail. Dann spielte es die Sicherheitslücke herunter und sprach davon, dass man „spezielle Hackingtools“ für den Hack benötige. Der Angriff war aber mit einem normalen Smartphone und aus 100 Metern Entfernung möglich gewesen.
Versteckte Datenschutzerklärung
Nach der Datensammlung mit den Fotos, Videos und Audioaufnahmen gefragt, antwortete das Unternehmen laut ABC, dass die Nutzer:innen „willentlich“ an diesem Programm teilnehmen würden. Dies ist laut ABC allerdings nicht der Fall, denn „wenn sich Benutzer über die Ecovacs-Smartphone-App für dieses Programm anmelden, wird ihnen nicht mitgeteilt, welche Daten gesammelt werden, sondern nur, dass dies Ecovacs „dabei helfen wird, die Verbesserung der Produktfunktionen und der damit verbundenen Qualität zu stärken“. In der App werden die Benutzer:innen laut dem Bericht angewiesen, auf „oben“ zu klicken, um die Einzelheiten zu lesen, allerdings gäbe es auf dieser Seite gar keinen Link.
Die Datenschutzrichtlinie von Ecovacs – die an anderer Stelle in der App verfügbar ist – erlaubt die pauschale Erfassung einer 2D- und 3D-Karte der Wohnung, Audioaufnahmen sowie Fotos und Videos. Gleichzeitig lässt sich Ecovacs zusichern, dass es diese Daten, wenn sie in der App gelöscht werden, auch weiterhin nutzen kann.
Eine wirklich informierte Einwilligung, die laut der Datenschutzgrundverordnung in Europa notwendig ist, dürfte das jedenfalls nicht sein.
FYI
Reverse engineering and hacking Ecovacs robots
https://dontvacuum.me/talks/DEFCON32/DEFCON32_reveng_hacking_ecovacs_robots.pdf
– Full Python 2.7 environment
– AWS Kinesis SDK (remote camera access outside of China)
– Alibaba Aliyun SDK (remote camera access inside of China)
Heise meldet Cyberattacke:
https://www.heise.de/news/Sicherheitsluecke-in-Evovacs-Saugrobotern-erlaubt-Remote-Steuerung-durch-Hacker-9979104.html
WinFuture meldet Beleidigungen aus den Roboter:
https://winfuture.de/news,145936.html
Warum sollte das Unternehmen auch etwas ändern? Es folgt doch -wie so oft- wahrscheinlich auch dieses Mal wieder keine Sanktion. Gesetze, die nicht durchgesetzt werden, werden auch nicht befolgt.
Zu „Gesetze, die nicht durchgesetzt werden“ zähle ich persönlich „Datenschutzbehörden, die trotz DSGVO noch immer zu feige für Bußgelder sind, die dem jeweiligen Unternehmen tatsächlich wehtun“,
Faustregel „Multipliziere das von dir beabsichtigte Bußgeld mit eintausend. Wenn möglich, auch mit einer Million. Bei Bußgeldern, die zu schnell zurück“verdient“ sind, liegt der Lerneffekt bei nahezu 0.“