Der iRobot Roomba 980 ist einer der vier Saugroboter, die wir im Rahmen unseres Saugrobotertests auf Sicherheit und Datenschutz getestet haben. iRobot ist bereits seit 2002 mit Saugrobotern am Markt vertreten und könnte als der „Platzhirsch“ auf dem Gebiet bezeichnet werden. Ob die Vorreiterwirkung auch in puncto Sicherheit und Datenschutz Bedeutung hat, werden wir im folgenden Testbericht darstellen.

Lokale Kommunikation

Die Einrichtung des iRobot findet über ein manuell zu aktivierendes WLAN einfach und schnell statt. Das vom iRobot bereitgestellte WLAN ist nicht verschlüsselt. Allerdings konnte keine unverschlüsselte Kommunikation zwischen Saugroboter und App festgestellt werden, weiterhin war das WLAN nach wenigen Augenblicken wieder deaktiviert und der Roomba mit dem Labor-WLAN verbunden. Während und nach der Einrichtung fand sämtliche lokale Kommunikation TLS1.2-verschlüsselt statt.

App & Online-Kommunikation

Die iRobot App wurde in der Version 3.2.0 auf den Prüfstand gestellt. Sie ist in weiten Teilen obfuskiert, erschwert Angreifern aufgrund der Codeverschleierung also das Reverse-Engineering des Quellcodes. Sie verfügt über mehrere Drittanbietermodule, wir konnten über statische und dynamische Analyse allerdings keine nennenswerten Schwachstellen ausmachen.

Reinigungskarte des iRobot Roomba 980

Sie kommuniziert, identisch zum Roomba 980, stets TLS1.2-verschlüsselt, ist daher gegen einfache Man-in-the-Middle-Angriffe geschützt. Die Implementation von Certificate Pinning, erweiterter Zertifikatsvalidierung in der App, wird von uns allerdings stark empfohlen, um auch erweiterten Angriffen entgegenzuwirken. Unverschlüsselte Verbindungen konnten im Rahmen des Tests nicht festgestellt werden.

App-Traffic zu Amazon AWS USA

Datenschutz

Die mit elf A4-Seiten und fast 7000 Wörtern sehr detailliert ausgearbeitete Datenschutzerklärung von iRobot informiert den Benutzer in allen Belangen über die Datenschutzpraxis in Zusammenhang mit den Saugrobotern. Im Gegensatz zu anderen Herstellern, wie z.B. Dyson, stellt iRobot allerdings keine vereinfachte und auf die wichtigen Punkte heruntergebrochene Version zur Verfügung. Dass Endkunden ein Dokument dieser Größenordnung lesen, geschweige denn eventuell kritische Punkte identifizieren, wird so wirksam verhindert.

Dass in dem langen Dokument das Wort „anonym“ nicht vorkommt, verwundert gerade in Bezug auf die angekündigte Zusammenarbeit mit Google nicht. Sämtliche aufgezeichneten Daten werden im Rahmen des EU-US-Privacy-Shields in die USA übertragen und dort verarbeitet.

Abschließend ein Zitat aus der Datenschutzerklärung über ein Beispiel aufgezeichneter Daten: „Demographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen über Ihr Wohnumfeld.“

Fazit

Der iRobot Roomba 980 bietet dem Nutzer eine sichere Lösung, sei es bei der Kommunikation im lokalen Netzwerk oder über die Cloud. Auch im Bereich Datenschutz informiert der Hersteller mehr als ausführlich, auch wenn Zweifel an der Notwendigkeit für die Datenaufzeichnung aufkommen können.