Hacker finden Mikrofon in Lidl-Küchenmaschine

Es waren verrückte Szenen, die sich Anfang Juni abgespielten. Lidl verkaufte in Frankreich in mehreren Filialen die Küchenhilfe Monsieur Cuisine Connect für 359 Euro. Das ist ein Drittel so teuer wie das Markenprodukt Thermomix von Vorwerk. Kunden stürmten die Filialen und hamsterten teilweise mehrere Geräte. Auch in der Schweiz wurde die Küchenmaschine bei Lidl im Frühling im Rahmen einer Aktion verkauft.

Jetzt haben zwei französische Hacker den Apparat genauer unter die Lupe genommen – und dabei eine überraschende Entdeckung gemacht. Bei der Demontage fanden sie ein Mikrofon. «Weder in der Bedienungsanleitung noch auf der Website ist vermerkt, dass das Gerät ein Mikrofon hat», erklärt Marie Turcan von der Tech-Website Numerama.com, die das Küchengerät mit den zwei IT-Experten angeschaut hat.

Im Monsieur Cuisine Connect steckt offenbar ein herkömmliches Android-Tablet. Darauf läuft die Bedienoberfläche der Maschine. Mit ein paar Kniffs gelang es den zwei Hackern, damit auf mehrere Websites zuzugreifen und Youtube-Clips abzuspielen. Sie testeten auch das Mikrofon mit einem Voice-Chat: Es funktionierte.

Die Existenz des Mikrofons könnte für Nutzer schwerwiegende Folgen haben, schreibt Turcan. Nämlich dann, wenn versucht würde, das vernetzte Gerät zu hacken. Wie die französischen IT-Cracks feststellten, lief auf ihrer Küchenmaschine die veraltete Android-Version 6.0 aus dem Jahr 2017, was das Gerät anfällig für Angriffe macht, so ihr Fazit.

Screenshot eines Demontage-Videos aus dem Jahr 2018 mit Anmerkungen von Numerama.com. (Quelle: Youtube/Gauster Haus)

Auf Anfrage von 20 Minuten nimmt Lidl Schweiz zum Mikrofon-Fund Stellung. «Das Mikrofon ist softwareseitig deaktiviert und kann nicht durch unsere Kunden aktiviert werden», erklärt eine Sprecherin des Unternehmens schriftlich. Das Tablet mit dem Mikrofon sei im Hinblick auf die mögliche Einführung neuer Gerätefunktionen verbaut worden.

Lidl betont, dass es eine «geschlossene Lösung» sei und erst «eine massive technische Manipulation mit Spezialkenntnissen» eine Aktivierung ermöglichen würde. Das Mikrofon werde künftig erst dann aktiviert, wenn der Kunde der Benutzung ausdrücklich zugestimmt habe.

Um Sicherheitsrisiken so weit wie möglich zu minimieren, sei Android 6.0 mit den neuesten Sicherheitsupdates ausgestattet. Zudem sei bei der Entwicklung ein «Secure Element» eingesetzt worden, das einen unbefugten Zugriff von aussen verhindern sollte. Was genau das ist, konnte Lidl bisher nicht beantworten.