{"id":275066,"date":"2026-02-24T17:46:20","date_gmt":"2026-02-24T16:46:20","guid":{"rendered":"https:\/\/www.ifun.de\/?p=275066"},"modified":"2026-03-03T20:22:53","modified_gmt":"2026-03-03T19:22:53","slug":"sicherheitsluecke-beim-dji-romo-videozugriff-auf-saugroboter","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/sicherheitsluecke-beim-dji-romo-videozugriff-auf-saugroboter-275066\/","title":{"rendered":"Sicherheitsl\u00fccke beim DJI ROMO: Videozugriff auf Saugroboter"},"content":{"rendered":"

Der f\u00fcr seine Drohnen bekannte Hersteller DJI<\/a> hat eine Sicherheitsl\u00fccke bei seinem ersten Saugroboter DJI ROMO<\/a> einger\u00e4umt. Nach eigenen Angaben wurde Ende Januar im Rahmen einer internen \u00dcberpr\u00fcfung eine Schwachstelle in der Serverarchitektur entdeckt. Diese habe eine unzureichende Rechtepr\u00fcfung bei der Kommunikation zwischen Ger\u00e4t und Cloud betroffen.<\/p>\n

\"Romo<\/a><\/p>\n

Konkret ging es um die Verarbeitung von MQTT-Nachrichten<\/a>, also kurzen Statusmeldungen, die der Roboter regelm\u00e4\u00dfig an die Server sendet. Laut DJI bestand dadurch theoretisch die M\u00f6glichkeit, unbefugt auf Livebilddaten zuzugreifen. Tats\u00e4chliche Vorf\u00e4lle seien jedoch selten gewesen und \u00fcberwiegend auf Sicherheitsforscher zur\u00fcckzuf\u00fchren, die ihre eigenen Ger\u00e4te getestet h\u00e4tten.<\/p>\n

Die Behebung erfolgte in zwei Schritten. Ein erstes Update wurde am 8. Februar ausgerollt, ein weiteres am 10. Februar. Nach Unternehmensangaben wurden verbliebene Serverknoten anschlie\u00dfend neu gestartet, sodass die Schwachstelle vollst\u00e4ndig geschlossen sei. Die Daten\u00fcbertragung zwischen Ger\u00e4t und Server sei stets per TLS verschl\u00fcsselt gewesen. Nutzerdaten europ\u00e4ischer Ger\u00e4te w\u00fcrden auf einer US-basierten AWS-Cloud-Infrastruktur gespeichert. Ein Eingreifen der Anwender sei nicht erforderlich gewesen.<\/p>\n

Entwickler hatte Zugriff auf 7.000 Sauger weltweit<\/h2>\n

\u00d6ffentlich bekannt wurde das Problem durch Recherchen von The Verge<\/a>. Dort schilderte ein Entwickler, er habe beim Experimentieren mit einer eigenen Steuerungssoftware Zugriff auf tausende ROMO-Ger\u00e4te weltweit erhalten. Neben Statusinformationen wie Akkustand und Raumkarten seien zeitweise auch Kameradaten abrufbar gewesen.<\/p>\n

\"Dji<\/a><\/p>\n

Wir hatten den ROMO erst k\u00fcrzlich selbst im Alltag getestet<\/a>. Dabei \u00fcberzeugte das Ger\u00e4t durch leisen Betrieb, strukturierte Navigation und eine zuverl\u00e4ssige Reinigungsleistung. Die Sensorik arbeitet kamerabasiert in Kombination mit LiDAR-Technik, um R\u00e4ume zu kartieren und Hindernisse zu erkennen. Dass diese Daten \u00fcber Cloud-Server verarbeitet werden, ist f\u00fcr viele App-gest\u00fctzte Haushaltsger\u00e4te \u00fcblich. Der aktuelle Vorfall zeigt jedoch, wie entscheidend eine saubere Zugriffskontrolle auf Serverebene ist.<\/p>\n

\"Dji<\/a><\/p>\n

DJI betont, dass es sich nicht um ein Problem der Transportverschl\u00fcsselung gehandelt habe, sondern um eine serverseitige Berechtigungspr\u00fcfung. Man verf\u00fcge \u00fcber ein Bug-Bounty-Programm und habe die Hinweise externer Forscher in die Nachbearbeitung einbezogen. Weitere Sicherheitsanpassungen sind angek\u00fcndigt.<\/p>\n

In guter Gesellschaft<\/h2>\n

Ende 2024 hatte der Saugroboter-Anbieter Ecovacs vergleichbare Probleme<\/a> und auch Wettbewerber Dreame musste bei der Sicherheit seiner Apps mehrfach nachbessern<\/a>.
\n