Sicherheitslücke bei Shark-Staubsaugern macht Kameras, Hauspläne und WLAN-Passwörter angreifbar

| 17. Juli 2026
Hai-Logo

Die mit der Cloud verbundenen Staubsaugerroboter von Shark sind derzeit durch eine ungepatchte Sicherheitslücke in den AWS-IoT-Richtlinien (Amazon Services, Internet der Dinge) gefährdet, die dazu führen könnte, dass ein kompromittiertes Gerät als Fernsteuerungs-„Schlüssel“ für viele andere Geräte in derselben Region fungiert und Zugriff auf Kameras, Karten und WLAN-Passwörter gewährt.

Ein Forscher mit dem Nutzernamen „tokay0“ hat einen Shark RV2320EDUS-Staubsaugerroboter auseinandergenommen und festgestellt, dass das darin integrierte AWS-IoT-Zertifikat die Berechtigung besitzt, Themen für jedes Shark-Gerät in derselben AWS-Region zu veröffentlichen und zu abonnieren – nicht nur für sich selbst.

Eine AWS-Region ist ein eigenständiger geografischer Standort, an dem Amazon seine Cloud-Rechenzentren Amazon . Jede AWS-Region ist vollständig von den anderen isoliert. Derzeit gibt es weltweit 39 AWS-Regionen.

AWS stellt standardmäßig gerätebezogene „Shadows“ bereit, in denen Zustandsdaten wie Konfigurationen und Befehle gespeichert werden. Die jedoch zu großzügig ausgelegte MQTT-Richtlinie (Message Queuing Telemetry Transport) von Shark ermöglicht es einem gestohlenen Zertifikat, auch mit den „Shadows“ anderer Staubsauger zu kommunizieren.

Einfach ausgedrückt bedeutet dies, dass jeder Staubsauger über einen eigenen „Posteingang“ in der Cloud verfügen soll. Da die Cloud-Regeln von Shark zu weit gefasst sind, kann ein von einem Staubsauger gestohlenes Zertifikat auch Befehle an die Posteingänge anderer Staubsauger senden.

Zwar wurde das Zertifikat durch physischen Zugriff und mithilfe einer Debug-Konsole aus dem Vakuum extrahiert – was bedeutet, dass für den anfänglichen Zugriff physischer Zugriff erforderlich ist –, doch erfolgt der anschließende Missbrauch aus der Ferne und cloudbasiert.

Für die Eigentümer geht es hier nicht nur darum, dass jemand um 3:00 Uhr morgens Ihren Staubsauger einschaltet. Dem Forscher zufolge könnte ein Angreifer mit diesem Cloud-Zugriff:

  • Beobachten Sie die Umgebung über die Kamera des Staubsaugers und verwandeln Sie ihn so in ein mobiles Überwachungsgerät für Ihr Zuhause.
  • Entwenden Sie das WLAN-Passwort, das laut dem Forscher im Klartext gespeichert ist, wodurch er sich möglicherweise Zugang zu Ihrem lokalen Netzwerk verschaffen könnte.
  • Kopieren Sie die vom Staubsauger erstellte Karte Ihres Hauses, aus der die Raumaufteilung und die Nutzungshäufigkeit der verschiedenen Bereiche hervorgeht.

Wir haben bereits gesehen, wie „intelligente“ Staubsauger zu Risiken für die Privatsphäre und Sicherheit werden können, wenn Hersteller bei der Sicherheit Abstriche machen. Malwarebytes Labs berichtet, wie Ecovacs-Roboterstaubsauger gekapert werden könnten, um obszöne Nachrichten abzuspielen und Nutzer über ihre Lautsprecher und Sensoren auszuspionieren – ein Beispiel dafür, wie schnell ein hilfreiches Haushaltsgerät zu einem unerwünschten Hausgast werden kann.

Mithilfe des Zertifikats aus seinem eigenen Vakuum konnte der Forscher den Datenverkehr von Shark-Geräten in derselben AWS-Region überwachen und feststellen, welche davon die Ausführung von Fernbefehlen unterstützten. Innerhalb eines Zeitraums von 24 Stunden in einer einzigen AWS-Region beobachtete der Forscher 1.517.605 eindeutige Shark-Seriennummern und stellte fest, dass 673.816 Geräte (etwa 44 %) auf eine Weise reagierten, die auf die Unterstützung der Funktion zur Ausführung von Fernbefehlen hindeutete.

Der Forscher schrieb:

„Es ist schwierig, die genaue Anzahl der betroffenen Geräte abzuschätzen, und noch schwieriger herauszufinden, welche Geräte über diese falsch konfigurierten Zertifikate verfügen, die eine geräteübergreifende Veröffentlichung ermöglichen.“

Kam jedoch zu folgendem Schluss:

„Eine sehr große Anzahl von SharkNinja-IoT-Geräten ist von dieser Sicherheitslücke betroffen.“

Wie man sicher bleibt

Das Kernproblem liegt in einer nicht streng genug gefassten Richtlinie auf der Cloud-Seite. Damit handelt es sich um ein serverseitiges Problem und nicht um einen Firmware-Fehler, den man selbst beheben kann.

Dem Forscher zufolge hat SharkNinja die Sicherheitslücke noch nicht behoben, obwohl das Unternehmen bereits vor mehr als sechs Monaten darauf hingewiesen wurde. Solange sich daran nichts ändert, sollten Besitzer:

  • Übe Druck auf Shark aus, damit das Problem behoben wird.
  • Deaktivieren Sie die Fernsteuerung des Staubsaugers oder trennen Sie ihn vom WLAN, wenn Sie seine Smart-Funktionen nicht benötigen.
  • Achten Sie auf Ankündigungen von Shark bezüglich einer Fehlerbehebung, einer CVE oder eines Rückrufs.

Stöbern Sie, als würde niemand zusehen. 

Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen → 

Über den Autor

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.