Hacker finden Mikrofon in Lidl-Küchenmaschine

Monsieur Cuisine Connect war der Traum aller Schnäppchenjäger. Doch nun zeigt sich: Das Gerät, das auch in Österreich verkauft wurde, ist ein potenzielles Sicherheitsrisiko.

Es waren verrückte Szenen, die sich Anfang Juni abgespielten. Lidl verkaufte in Frankreich in mehreren Filialen die Küchenhilfe Monsieur Cuisine Connect für 359 Euro – in Österreich war er Anfang des Jahres online zum Kampfpreis von 299 Euro zu haben. Das ist weniger als ein Drittel des Preises für das Markenprodukt Thermomix von Vorwerk. Kunden stürmten die Filialen und hamsterten teilweise mehrere Geräte.

Jetzt haben zwei französische Hacker den Apparat genauer unter die Lupe genommen – und dabei eine überraschende Entdeckung gemacht. Bei der Demontage fanden sie ein Mikrofon. "Weder in der Bedienungsanleitung noch auf der Website ist vermerkt, dass das Gerät ein Mikrofon hat", erklärt Marie Turcan von der Tech-Website Numerama.com, die das Küchengerät mit den zwei IT-Experten angeschaut hat.

Mikrofon funktioniert

Im Monsieur Cuisine Connect steckt offenbar ein herkömmliches Android-Tablet. Darauf läuft die Bedienoberfläche der Maschine. Mit ein paar Kniffs gelang es den zwei Hackern, damit auf mehrere Websites zuzugreifen und Youtube-Clips abzuspielen. Sie testeten auch das Mikrofon mit einem Voice-Chat: Es funktionierte.

Die Existenz des Mikrofons könnte für Nutzer schwerwiegende Folgen haben, schreibt Turcan. Nämlich dann, wenn versucht würde, das vernetzte Gerät zu hacken. Wie die französischen IT-Cracks feststellten, lief auf ihrer Küchenmaschine die veraltete Android-Version 6.0 aus dem Jahr 2017, was das Gerät anfällig für Angriffe macht, so ihr Fazit.

Screenshot eines Demontage-Videos aus dem Jahr 2018 mit Anmerkungen von Numerama.com. (Quelle: Youtube/Gauster Haus)

Sogar der Shooter-Klassiker "Doom" lässt sich auf dem Küchenhelfer von Lidl installieren – und spielen, wie dieses Video beweist:

Das sagt Lidl

Auf Anfrage nimmt Lidl zum Mikrofon-Fund Stellung. "Das Mikrofon ist softwareseitig deaktiviert und kann nicht durch unsere Kunden aktiviert werden", erklärt eine Sprecherin des Unternehmens schriftlich gegenüber dem Schweizer Nachrichtenportal "20 Minuten". Das Tablet mit dem Mikrofon sei im Hinblick auf die mögliche Einführung neuer Gerätefunktionen verbaut worden.

Der "Monsieur Cuisine Connect" wurde über den Lidl-Onlineshop auch in Österreich zum Kampfpreis angeboten. (Quelle: Screenshot lidl.at)

Lidl betont, dass es eine "geschlossene Lösung" sei und erst "eine massive technische Manipulation mit Spezialkenntnissen" eine Aktivierung ermöglichen würde. Das Mikrofon werde künftig erst dann aktiviert, wenn der Kunde der Benutzung ausdrücklich zugestimmt habe.

Um Sicherheitsrisiken so weit wie möglich zu minimieren, sei Android 6.0 mit den neuesten Sicherheitsupdates ausgestattet. Zudem sei bei der Entwicklung ein "Secure Element" eingesetzt worden, das einen unbefugten Zugriff von außen verhindern sollte. Was genau das ist, konnte Lidl bisher nicht beantworten. (tob)