DJI Romo: Modder will Saugroboter mit PS5-Controller steuern, erhält Zugriff auf 7.000 Roboter-Kameras

DJI Romo (ca. 1.200 Euro auf Amazon) ist der erste Saugroboter des Drohnen-Herstellers. Mit einem auffälligen, transparenten Design setzt sich der Roboter von der Konkurrenz ab, allerdings hatte der Schutz gegen Cyberangriffe bei der Entwicklung offenbar kaum Priorität. Denn wie The Verge berichtet, hat ein Kunde versehentlich rund 7.000 DJI Romo rund um den Globus gehackt.

Eigentlich wollte Sammy Azdoufal seinen Saugroboter nur mit einem PlayStation-Controller steuern, einfach aus Spaß. Die selbst programmierte Fernsteuerungs-App sollte den Roboter über die Server von DJI steuern. Statt nur diesen einen DJI Romo fernzusteuern, hat der Server dem Entwickler aber kurzerhand Zugriff auf alle fast 7.000 DJI Romo gewährt, die zu diesem Zeitpunkt aktiv waren. Noch beängstigender ist die Tatsache, dass der Entwickler die Roboter nicht nur steuern, sondern auch auf die Mikrofone und Lautsprecher zugreifen konnte, um so live einen Blick in Tausende Haushalte werfen zu können.

Durch die IP-Adresse konnte der ungefähre Standort jedes Roboters bestimmt werden, während die Roboter sogar Raumpläne anlegen konnten. Der Programmierer betont, dass er keinerlei Regeln brechen oder Sicherheits-Beschränkungen umgehen musste, um diesen Zugriff zu erhalten. Stattdessen haben die Server von DJI den Token eines einzigen DJI Romo als Authentifizierung akzeptiert, um auf die Daten aller DJI Romo zugreifen zu können. DJI hat diese Sicherheitslücke am Mittwoch, dem 11. Februar, geschlossen. Dieser Vorfall macht aber deutlich, wie viele persönliche Daten ein Smart-Home-Gerät wie ein Saugroboter sammeln kann, und wie verheerend eine derartige Sicherheitslücke wäre, wenn diese von einem Angreifer ausgenutzt werden würde.