Thermomix von Lidl: Monsieur Cuisine Connect ist katastrophal unsicher
Als Lidl begann, mit dem Monsieur Cuisine Connect nach Deutschland im Vorjahr nun auch in Frankreich seinen günstigen Klon des teuren Thermomix anzubieten, war das Interesse der Kunden riesig. Tumultartige Szenen waren in den Läden zu beobachten, die Menschen prügelten sich fast um die Küchenmaschine. Nun zeigt sich: Der Thermomix-Klon von Lidl ist nicht nur günstig, sondern auch alles andere als sicher - auf vielfältige Art und Weise.
Für nur 359 Euro quasi einen Thermomix kaufen, der sonst 1.299 Euro kostet? Da sagen viele Kunden nicht Nein. Die zweite Generation des Monsieur Cuisine Connect hat einen 7 Zoll großen Touchscreen und ist deutlich moderner als die erste. Grund Genug für die beiden Franzosen Alexis Viguie und Adrien Albisetti, der smarten Küchenmaschine mal genauer auf den Zahn zu fühlen. Beim Auseinandernehmen staunten die beiden Bastler nicht schlecht: Der günstige Thermomix-Klon von Lidl hat ein Mikrofon hinter einem kleinen Loch an der Vorderseite. Das wird weder in der Anleitung erwähnt noch überhaupt benötigt, denn der Thermomix von Lidl hat keine Sprachsteuerung. Warum also so ein Mikrofon, mit dem sich die Küchenmaschine leicht zur Spionage missbrauchen lässt? Eines ist klar: Das versteckte Mikrofon ist vorhanden und lässt sich über Umwege auch benutzen.
Lidl betont in einer Stellungnahme gegenüber französischen Medien, dass das Mikrofon des Monsieur Cuisine Connect nicht aktiv sei. Das lässt sich erstens nicht so einfach nachprüfen, und zweitens ist es natürlich trotzdem vorhanden. Die Aktivierung über die Software des Thermomix-Klons von Lidl ist ziemlich einfach - Alexis Viguie und Adrien Albisetti haben es schließlich auch geschafft. Da das Gerät in das heimische WLAN eingebunden wird, lässt sich mit so einer Mikrofon und dem dahinter liegenden, nicht besonders gut geschützten Android-System einiges an Schindluder treiben,
Wer sich selbst anschauen möchte, was die beiden Bastler mit dem Thermomix von Lidl und seiner Software alles anstellen konnten, sollte sich das folgende Video anschauen. Es ist zwar auf Französisch gehalten, aber auch ohne Sprachkenntnisse durchaus imposant.
Auch ohne Mikrofon ist der günstige Thermomix ein Sicherheitsrisiko
Doch auch abseits des Mikrofons gibt es Grund genug, an der Verlässlichkeit des Thermomix-Klons von Lidl zu zweifeln. Der Monsieur Cuisine Connect verwendet intern Android als Betriebssystem, allerdings nur mit der Version Android 6 Marshmallow. Diese Version des Google-Betriebssystems wurde 2015 vorgestellt und ist damit für eine Software schon ziemlich betagt. Das allein wäre noch zu verkraften, allerdings kommen die von Lidl zugesicherten Sicherheitspatches für Android alles andere als zuverlässig. Auf dem Thermomix-Klon befindet sich laut dem Bericht von Numerama das Patch von März 2017. Bereits als das Küchengerät vor rund einem Jahr in Deutschland verkauft wurde, war dessen Sicherheit gegenüber Angriffen also nicht mehr gegeben, ein Jahr später noch viel weniger. Für ein Gerät, das im heimischen WLAN hängt, ist das brandgefährlich.
Wie das Video zeigt, lässt sich mit dem Thermomix-Klon von Lidl alles mögliche anstellen, denn die Android-Plattform im Herzen ist alles andere als sicher. Sogar das Kultspiel Doom läuft nach ein wenig Bastelei auf der Küchenmaschine. Damit wird es beim Kochen zwar nicht langweilig, so richtig vertrauenserweckend ist das Gesamtpaket des günstigen Lidl-Thermomix aber nicht.
This Thermomix clone? It runs Doom.
— octodon.social/@Siphonay (@Siphonay) 8. Juni 2019
Made with @Sinuso on his own device pic.twitter.com/D2D9rqKxHq
Das Beispiel des Monsieur Cuisine Connect zeigt deutlich das Gefahrenpotenzial, das all diese Geräte, die heutzutage mit dem Internet verbunden sind, besitzen. Viele der Hersteller dieser Gerätschaften sind klassische Hersteller von erschwinglichen Allerwelts-Geräten, die häufig wenig Augenmerk auf eine gut funktionierende und vor allem sichere Software legen. Ein System ist jedoch nur so sicher wie sein schwächstes Glied. Wenn ein so schlecht gesichertes Gerät wie der Thermomix-Klon von Lidl, der auch noch über ein Mikrofon verfügt, offen wie ein Scheunentor im heimischen WLAN hängt, ist der Rest des Netzes Angreifern unter Umständen schutzlos ausgeliefert. Das darf auch bei einem so verlockendem Preis wie dem des Monsieur Cuisine Connect nicht sein.
Quelle: Numerama (1), (2)
Himmel, unsicher? katastrophal? Spionage? Brandgefährlich?! was wird denn hier für eine Panik geschürt?! Jedes 2 Jahre altes Android-Smartphone ist um Faktor 1000 "brandgefährlicher" als diese Küchenmaschine.
Dass im Monsieur Cuisine Connect ein normales Android 6 Tablet steckt, war schon seit seiner Veröffentlichung bekannt. Auch, über die Entwicklerkonsole Apps zu installieren ist seit letztem Jahr schon bekannt. Aber macht es das Gerät in irgendeiner Weise unsicher? Nein, definitiv nicht. Der Ottonormalverbraucher ist nicht in der Lage, eigene Apps zu installieren und kein Angreifer kann über das Netzwerk Schadsoftware aufspielen oder irgendjmd. "abhören"... Es sind keine benutzerbezogenen Daten (Kontodaten, Google-Konto, etc.) vorhanden, nichts.
Die Sicherheitsupdates sind dazu da, die Benutzer vor dem Haupteinfallstor der Android-Geräte zu schützen: sich selbst! Benutzer die alle Apps ungeprüft installieren, Kontodaten speichern und überall blind auf JA klicken. Das kann man auf dem Monsieur Cuisine Connect aber nicht.
Wer jedoch ADB aktiviert (spezielles Kabel erforderlich), einen neuen Launcher installiert und allerhand Apps, Spiele, Emulatoren, Browser, Videoplayer installiert, weiß sehr genau, was er tut und ist nicht "in Gefahr". Ich sehe das im Gegenteil als sehr geiles Feature, dass hier Android eingesetzt wurde und man "Rezepte" auch direkt im Browser ansehen kann am Gerät. Und mit Mikrofon ist sogar eine Sprachsteuerung möglich.
Vorwerks Thermomix-Umsätze brechen bekanntlich seit der Veröffentlichung des 299,- LIDL-Geräts massiv ein. Der TM6 konnte das Dilemma auch nicht mehr retten. Und jetzt kommt eine Welle Panikmache-Artikel, nur weil jmd. ein Mikrofon in einem Android-Gerät entdeckt hat? Also bitte... wirklich?
Ein Schelm, böses dabei denkt. ;-) Was zahlt Vorwerk dafür?
Da ich seit ich 18 bin alleine wohne habe ich mir das kochen selbst beigebracht. Ich halte von solchen Geräten nicht viel. Vielleicht ist es für manche praktisch, aber mir würde das alles selbst zubereiten auf Dauer fehlen.
Ich bin jetzt 41 und hatte das Glück 38 Jahre eine Oma zu haben. Klingt vielleicht altmodisch hinsichtlich der Tatsache, dass ich in der IT bin, aber mir hat das viel gegeben. Zu sehen, wie der Holzofen befeuert wird und dann mit Jahre alten Töpfen und Pfannen das leckerste Essen gemacht wurde ist für manche vom "smarthome" - Schwachsinn geblendeten Leuten kaum noch vorstellbar. Da wird der Koch zum User und beim Stromausfall ist die Wohnung tot. Was für ein Mega Quark. Mir kommt regelmäßig das Frühstück hoch wenn die Kollegin von "Ihrer" Alexa berichtet. Tut das Not?
Das Problem für Lidl mit dem Mikrofon im Kochtopf ist wohl weniger, eines eingebaut zu haben. Schließlich laufen Millionen Menschen mit Mikrofon und veraltetem Android in der Tasche durch Deutschland, oder stellen sich Mikrofone in die Wohnung, die explizit darauf ausgelegt sind, die Bewohner zu belauschen. Das Dilemma ist vielmehr, dass sie nicht in der Bedienungsanleitung darauf hingewiesen und es als Feature für künftige Sprachsteuerung verkauft haben. Dann würden die Leute es sogar cool und innovativ finden.
Naja also ich bin Itler und ich bekomme regelmäßig Windows PCs mit denen auch Onlinebanking gemacht wird die seit mehreren Jahren keine Updates gemacht haben. Ich würde so ein ding dann einfach in ein Gast W-Lan packen ohne weiteren Zugriff und gut ist. So jetzt aber zu dem GErät ich finde den Thermomix zu viel zu Teuer kann die Leute nicht verstehen die das Dafür ausgeben. Selbst bei 400€ für das Original hätte ich gesagt ich kann auch einfach 3 Kochtöpfe und eine Pfanne nutzen. Ich kenne jemanden die die Dinger verkauft und habe auch schon einige Gerichte Probiert aber vom Hocker gehauen hat mich keines davon. Finde auch nicht das es wirklich schneller geht.
Was ein Scheiß.
Ab in die Tonne.
Ressourcenverschwendung.
Mehr mehr gibt es zu solchen Geräten nicht zu sagen.
Jetzt klingen mir schon die Gegenargumente der Befürworter in den Ohren.
Aber wie sage ich immer?
In sich logisch.
Im Kontext zur Außenwelt, Blödsinn.
Wer einen Thermomix braucht, hat die Kontrolle über sein Leben verloren. 😁
Zitat : "Warum also so ein Mikrofon, mit dem sich die Küchenmaschine leicht zur Spionage missbrauchen lässt? Eines ist klar: Das versteckte Mikrofon im Thermomix ist vorhanden und lässt sich über Umwege auch benutzen."
Ist zwar keine Absicht von Euch, aber das Lidl-Pedant ist kein Thermomix ! Kleinliche Abmahnanwälte könnten diesen Fehler als Einfallstor nutzen !
Ansonsten ist der Klon wie das Original ja nicht mehr als ein ferngesteuerter Suppentopf. Wer kochen kann braucht so einen Schmarrn nicht.
Servus Thomas, danke für den Hinweis. Da hat sich ein "Thermomix" zu viel in den Text eingeschlichen. Ist korrigiert :)
Missbrauchen lässt sich alles. Aber ich habe mir angewöhnt, die Stecker von allen Kochgeräten herauszuziehen wenn ich sie nicht brauche. Da wäre ein Mikrofon in einem Kochgerät kein Problem. Allerdings sehe ich keinen Sinn in solchen Geräten mit Internetanschluss. Das Display eines Tablets ist viel größer, lässt sich also besser ablesen.
Reißerische Überschrift. Pures Clickbaiting. Praktisch alle Geräte mit Android, Windows etc. laufen mit unsicheren, alten Versionen von Betriebssystemen. Während Smartphones 1-2 Jahre Updates erhalten, werden Maschinen nur selten mit Updates beliefert. Die Dyson Luftreiniger sind da genauso anfällig wie der Thermomix. Das ist meist problemlos, da auf den Geräte nichts Wichtiges an Daten liegt. Sogar bei Atomkraftwerken gibt es dieses Problem und sollte man vielleicht eher darüber berichten.
Beim Thermomix Clone muss ich nur Angst haben, dass ein Hacker (keine Firewall???) den Mixer aktiviert oder den Kochvorgang startet.
Meint ihr nicht, dass ihr übertreibt? Oder wird der Beitrag von Thermomix gesponsert?
Vielleicht hast Du auch einfach den Beitrag nicht verstanden, in dem es primär um das Mikrofon geht.
Je unsicherer das BS desto schneller kann man jenes Mikrofon aktivieren. Das ist schon ein großes Einfallstor. Mir wäre jedenfalls nicht bekannt dass mein Dyson Staubsauger ein Mikrofon verbaut hat (man mag mich verbessern).
Hier von Clickbait zu sprechen ist absoluter Blödsinn.
Stünde dort etwas wie "Millionen Deutsche Haushalte in akuter Gefahr. Thermomix Klon ist eine Killermaschine"
dann wäre das Clickbait.
Das "katastrophal" ist wohl etwas hoch gestochen, trifft aber trotzdem das Thema.
Danke für Deinen Kommentar, aber nein Danke.
@Klaus M.
"Beim Thermomix Clone muss ich nur Angst haben, dass ein Hacker (keine Firewall???) den Mixer aktiviert oder den Kochvorgang startet."
Du musst dir weniger Sorge um dein Essen machen, als vielmehr darum, dass dein Kochtopf in ein weltweites Botnetz eingebunden wird, oder als Einfallstor in das Heimische Netzwerk dient und so den Zugriff auf andere Geräte wie PC oder NAS ermöglicht. Eine Firewall nützt dir bei Sicherheitslücken auch nichts.
Um Himmels Willen... eine Küchenmaschine am WLAN, nimmer!
Du bist auch von gestern..unser Kühlschrank kommuniziert uns stets via SportAPP, das wir uns
a) noch mehr bewegen sollten und b) heute noch keinen gesunden Saft entnommen haben. Die AmazonFood Meldung via Alexa ereilt uns uns pünktlich um 14 uhr, damit wir genügend Zeit haben, die Lebensmittel so vorzubereiten, dass sie unser Kind, welchem wir damit das *KOCHEN* beibringen wollen, nur noch zeitgenau in den echten Thermomix schmeissen muss.
der Steamer meldet den perfekten Garzeitpunkt via Benachrichtigung und auf Twitter kommt das FoodPornBild exakt um 11.55Uhr als TL-Stempel.
Während wir älteren noch in Facebook unsere Zeit verdaddeln , TikTokt die Kleine bereits die gesunde Bestellung mit Periscope auf Twitter und die Waschmaschine fragt nochmals nach , ob den die Wäschesitzung mit Tumbler 2.0 abends um 18.00 klappen würde.
Müde und vollkommen erschöpft melde ich meiner Tagebuchapp, das ich alle Meldungen der Küchenzeile, Waschküche und des Foodcenters abgearbeitet habe und somit bereit für mein Airbed bin in welchem ich via App die korrekte , sprich der heutigen Müdigkeit entsprechende Federung abrufe.
Eins noch.. ich kontrolliere meinen BarristaClock-Morgenespresso-Maker, der mich mit wunderbarem frischgebrautem Kaffee AM BETT weckt, notabene nachdem ich mit der LoveWakeUp-App und dem neuen Xiaomi Miband 5 den MorgenBettSport absolviert und nun bereit für den heutigen Tag bin..
;)
Man bist Du lustig. 🤦♂️
Ja, ich finde den jeroME auch ganz erfrischend. Leute mit Humor findet man hier sonst nicht so oft.
Meine Bewunderung sei dir sicher ;-)
Wer kauft sich denn bitte so ein teuren Schrott?.. Das Gerät gibt es billiger und aus eigener Erfahrung toller Qualität. Gesehen und bestellt aus der TV WERBUNG.
Der Hersteller wird nicht zufällig vom Seehofer gesponsort?
Der möchte doch so gerne alle seine Bürger via Alexa un Co abhören und bekommt dafür vielleicht zu viel Gegenwind?
:-D