DJI Romo-Schwachstelle: Saugroboter erlaubt Blick in fremde Häuser

Eigentlich wollte ein Entwickler seinen DJI-Saugroboter nur per Gamepad steuern. Doch plötzlich hatte er Zugriff auf Tausende fremde Kameras und Wohnungsgrundrisse. Eine massive Sicherheitslücke offenbart gravierende Mängel.

Kontrollverlust im Smart Home

Ein privates Bastelprojekt des Sicherheitsforschers Sammy Azdoufal aus Barcelona hat gravierende Mängel in der Cloud-Infrastruktur des Saugroboters Romo von DJI aufgedeckt. Als er versuchte, seinen Saugroboter über einen PlayStation-Controller zu steuern, entdeckte er eine kritische Schwachstelle.

Azdoufal erhielt durch Fehler in der Schnittstelle Zugriff auf rund 7000 fremde Haushalte weltweit. Unbefugte Dritte konnten über diesen Weg nicht nur Live-Kamerastreams der Roboter einsehen, sondern auch detaillierte digitale Grundrisse der Wohnungen sowie präzise Standortdaten abrufen.


Die Ursache für diesen massiven Datenschutzverstoß lag in einer fehlerhaften Rechteverwaltung im Backend des chinesischen Herstellers. Darauf gekommen ist Azdoufal, als er zu Analysezwecken den privaten Authentifizierungs-Token seines eigenen Roboters extrahierte.

Die DJI-Server überprüften bei der Verbindung jedoch nicht, ob dieser Schlüssel ausschließlich für das eigene Gerät gültig war. Dies ermöglichte es dem Entwickler, sich auf sogenannte Wildcard-Topics im MQTT-Protokoll (Message Queuing Telemetry Transport) zu abonnieren. Innerhalb von nur neun Minuten katalogisierte sein Notebook Tausende aktive Geräte in 24 Ländern, inklusive sensibler Metadaten wie Seriennummern, IP-Adressen und dem aktuellen Reinigungsstatus.

Verifizierung der Schwachstelle

Wie The Verge berichtet, konnte die Sicherheitslücke zweifelsfrei verifiziert werden. Allein durch die Übermittlung der 14-stelligen Seriennummer eines Testgeräts an den Entwickler war es möglich, dessen Status auszulesen. Azdoufal demonstrierte den Zugriff eindrucksvoll, indem er in Echtzeit zusah, wie der Roboter einen exakten Grundriss der Wohnung generierte. Besonders kritisch: Auch der Zugriff auf den Video-Feed gelang, ohne die eigentlich zwingend erforderliche vierstellige Sicherheits-PIN einzugeben, die normalerweise den Kamerazugriff schützen soll. DJI Romo - die Staubsaugerroboter des Drohnenspezialisten Die über die DJI-Cloud potenziell zugänglichen Daten waren umfassend und erlaubten ein tiefes Eindringen in die Privatsphäre der Nutzer. Ein Angreifer hätte mit minimalem Aufwand Profile über die An- und Abwesenheit der Bewohner erstellen können.

Zu den gefährdeten Informationen gehörten:

Nach der Offenlegung reagierte DJI und räumte ein "Backend-Berechtigungsvalidierungsproblem" ein. Zwar sei die Kommunikation zwischen Roboter und Server per TLS verschlüsselt gewesen, doch fehlte auf dem Server selbst eine effektive Zugriffskontrolle (Access Control List). Ein authentifizierter Client konnte somit Nachrichten anderer Geräte im Klartext lesen. Laut DJI wurde das Problem durch serverseitige Updates am 8. und 10. Februar behoben, sodass Nutzer keine eigene Firmware installieren mussten. Das Unternehmen betonte zudem, dass die Daten internationaler Nutzer, darunter auch europäische Kunden, auf AWS-Servern in den USA gespeichert werden.

Wie bewertet ihr die Sicherheit von Smart-Home-Geräten mit Kameras und Cloud-Zwang? Vertraut ihr den Herstellern oder verzichtet ihr lieber auf solche Features? Wir sind gespannt auf eure Meinung in den Kommentaren! DJI Mini 4 Pro Fly More Combo Jetzt für 749 Euro bei Media Markt Zum Angebot

Siehe auch: