Ein weiterer Vertreter in unserem großen Staubsaugroboter-Test ist der Roborock S55 vom chinesischen Hersteller Xiaomi. Der Roborock zusammen mit seinem Vorgänger sind mittlerweile die weit verbreitetsten Modelle in dieser Produktkategorie. Gerade der vergleichbar günstige im Vergleich zu anderen Modellen und auch den Vertretern in unserem Test, macht das Xiaomi Gerät für viele Kunden ideal für den Einstieg. Dementgegen stehen auch viele interessierte Kunden, die sich den niedrigen Preis mit mangelnder Qualität erklären und daher Produkten vom chinesischen Markt eher mit Misstrauen begegnen. Ob und inwiefern der vergleichbar niedrige Preis hier beim Xiaomi Roborock S55 durch fehlende Qualität im Bereich Sicherheit und Datenschutz erkauft wird und wie das Gerät im Vergleich zu den westlichen Vertretern abschneidet, soll der nachfolgende Testbericht klären.
Applikation
Die mobilen Applikationen für Android und iOS sind bei Xiaomi dieselben, wie auch für alle anderen Smart Home Komponenten. D.h. eine App stellt den Zugriff und die Steuerungsmöglichkeit für alle Produkte der Xiaomi Smart Home Familie zur Verfügung. So haben wir die Applikationen in früheren Tests (z.B. des Xiaomi Smart Home Sets) unter die Lupe genommen und hatten dabei stets einige Probleme entdeckt. Auch wenn die Anzahl dieser mit neueren Versionen stetig abnahm.
Die statische Analyse der Android-App (com.xiaomi.smarthome; v5.4.33) im ersten Schritt, ergab dabei lediglich den Hinweis auf erhöhte Rechte der Applikation. So sichert sich die Xiaomi-App Systemrechte, beispielweise auf das Mounten und Unmounten des Filesystems oder die Änderung der Systemsicherheitseinstellungen. Die absolute Notwendigkeit für den normalen Betrieb kann dabei bezweifelt werden.
Außerdem typisch für viele mobile Applikationen (aber in diesem Fall besonders ausgeprägt) ist die schiere Masse an Drittanbieter-SDKs und Codemodulen von beispielsweise Facebook, Alibaba, Alipay oder Tencent. Diese Softwarekomponenten stellen grundsätzlich allesamt umfangreiche Funktionalität zur Datensammlung und Ausleitung zur Verfügung. Auch wenn hier nur schwerlich exakt bewiesen werden kann, ob, welche und wie oft Daten an die betreffenden Unternehmen abfließen, ist ein gewisses Misstrauen an dieser Stelle durchaus angebracht. Zumal Xiaomi in ihrer Datenschutzerklärung auch ziemlich unverhohlen zugibt, dass alle durch ihre Produkte gesammelten Daten mit bestimmten dritten Parteien geteilt werden (Mehr dazu im Abschnitt „Datenschutz“).
Ebenfalls typisch für die Xiaomi-Applikationen sind die exzessiven Logs und Logausgaben. Diese enthielten in früheren Versionen auch gern sensible Informationen, wie Accountnamen und dazugehöriges Passwort und speicherten diese extern auf der SD-Card, wo sie für jede andere App frei zugänglich waren. So schlimm ist es in der aktuellen Version zwar nicht mehr, viel zuviel Informationen werden aber nichtsdestotrotz noch in Logs und über das Android Logcat preisgegeben.
Seltsam: In der .apk-Datei der Android-Applikation ist eine weiter .apk enthalten mit dem Namen „hack.apk“. Zwar enthält diese nur eine Klasse mit leerem Konstruktor, einen Eindruck von fachmännischer Implementation hinterlassen solche Entwicklungsrelikte aber trotzdem nicht unbedingt.
Lokal- und Online-Kommunikation
Für die lokale Kommunikation zwischen Roboter und App sowie zwischen Cloud und Roboter kommt hauptsächlich das UDP Protokoll zum Einsatz. In sicherheitskritischen Bereichen sehen wir aus sicherheitstechnischer Sicht lieber TLS über TCP, da es erstens von Haus eine adäquate und sichere Verschlüsselung mitbringt und außerdem, bei korrekter und vollständiger Implementation, gegen Man-in-the-Middle-Angriffe abgesichert ist. Im Fall des Xiaomi-Roboters ist die eigentliche Payload in der UDP-Kommunikation zwar zusätzlich gegen Mitlesen abgesichert, die Schwächen des Protokolls bleiben aber bestehen.
Die Applikation kommuniziert im Gegensatz zum Roboter selbst fast ausschließlich über TCP, welches durch TLS in einer ausreichend aktuellen Version abgesichert wird. Allerdings konnten wir im Test auch mehrfach ungesicherte HTTP-Verbindungen beobachten, wobei Nutzerstatistiken inklusive Device-ID übertragen wurden.
Auch einige der abgesicherten TLS-Verbindungen wiesen im Test Schwachstellen auf. Aufgrund einer unzureichenden Überprüfung des präsentierten Serverzertifikats auf App-Seite, war es uns möglich uns als Man-in-the-Middle in einige Verbindungen einzuklinken und so beispielsweise die Übertragung der vom Roboter erfassten Cleaning Map in die Cloud mitzulesen.
Datenschutz
Die im Google PlayStore verlinkte Datenschutzerklärung verweist auf die allgemeine Datenschutzerklärung von Xiaomi. Die korrekte Version ist erst nach Download bzw. Installation der entsprechenden App einsehbar und gilt für das gesamte Mi Home Programm des chinesischen Herstellers.
Die englischsprachige, von TrustArc zertifizierte Datenschutzerklärung erklärt in gut verständlichen Worten, welche Daten von Xiaomi gesammelt werden. Diese sind vergleichsweise üppig und spiegeln sich auch in dem Datenverkehr des Roborock S55 wider – während des Saugvorgangs fließen stetig Daten zum chinesischen Hersteller. Ob die von Xiaomi erhobenen Daten für den Betrieb notwendig sind, sollte in Frage gestellt werden. Neben Bereitstellung, Wartung und Verbesserung der Dienste werden persönliche Daten auch für Direktmarketing genutzt.
Anonymisierte Daten werden auch für anderweitige Werbezwecke benutzt, weiterhin werden viele Daten innerhalb der Xiaomi-Gruppe, dem sogenannten Mi-Ecosystem, geteilt.
Fazit
Der Xiaomi Roborock S55 ist an und für sich ein solides Gerät, was Kunden gerade durch seinen vergleichsweise geringen Preis überzeugen dürfte. Viele kleinere technische Schwachstellen und die angebrachte Kritik im Bereich Datenschutz und Privatsphäre führen insgesamt dennoch zu einer deutlichen Abwertung. Gerade im Vergleich zu den anderen Vertretern im Test kann der Xiaomi Roboter nicht ganz mithalten und wird von uns insgesamt mit 1 von 3 Sternen bewertet.