Sicherheitslücke beim DJI ROMO: Videozugriff auf Saugroboter

Der für seine Drohen bekannte Hersteller DJI hat eine Sicherheitslücke bei seinem ersten Saugroboter DJI ROMO eingeräumt. Nach eigenen Angaben wurde Ende Januar im Rahmen einer internen Überprüfung eine Schwachstelle in der Serverarchitektur entdeckt. Diese habe eine unzureichende Rechteprüfung bei der Kommunikation zwischen Gerät und Cloud betroffen.

Konkret ging es um die Verarbeitung von MQTT-Nachrichten, also kurzen Statusmeldungen, die der Roboter regelmäßig an die Server sendet. Laut DJI bestand dadurch theoretisch die Möglichkeit, unbefugt auf Livebilddaten zuzugreifen. Tatsächliche Vorfälle seien jedoch selten gewesen und überwiegend auf Sicherheitsforscher zurückzuführen, die ihre eigenen Geräte getestet hätten.

Die Behebung erfolgte in zwei Schritten. Ein erstes Update wurde am 8. Februar ausgerollt, ein weiteres am 10. Februar. Nach Unternehmensangaben wurden verbliebene Serverknoten anschließend neu gestartet, sodass die Schwachstelle vollständig geschlossen sei. Die Datenübertragung zwischen Gerät und Server sei stets per TLS verschlüsselt gewesen. Nutzerdaten europäischer Geräte würden auf einer US-basierten AWS-Cloud-Infrastruktur gespeichert. Ein Eingreifen der Anwender sei nicht erforderlich gewesen.

Entwickler hatte Zugriff auf 7.000 Sauger weltweit

Öffentlich bekannt wurde das Problem durch Recherchen von The Verge. Dort schilderte ein Entwickler, er habe beim Experimentieren mit einer eigenen Steuerungssoftware Zugriff auf tausende ROMO-Geräte weltweit erhalten. Neben Statusinformationen wie Akkustand und Raumkarten seien zeitweise auch Kameradaten abrufbar gewesen.

Wir hatten den ROMO erst kürzlich selbst im Alltag getestet. Dabei überzeugte das Gerät durch leisen Betrieb, strukturierte Navigation und eine zuverlässige Reinigungsleistung. Die Sensorik arbeitet kamerabasiert in Kombination mit LiDAR-Technik, um Räume zu kartieren und Hindernisse zu erkennen. Dass diese Daten über Cloud-Server verarbeitet werden, ist für viele App-gestützte Haushaltsgeräte üblich. Der aktuelle Vorfall zeigt jedoch, wie entscheidend eine saubere Zugriffskontrolle auf Serverebene ist.

DJI betont, dass es sich nicht um ein Problem der Transportverschlüsselung gehandelt habe, sondern um eine serverseitige Berechtigungsprüfung. Man verfüge über ein Bug-Bounty-Programm und habe die Hinweise externer Forscher in die Nachbearbeitung einbezogen. Weitere Sicherheitsanpassungen sind angekündigt.

In guter Gesellschaft

Ende 2024 hatte der Saugroboter-Anbieter Ecovacs vergleichbare Probleme und auch Wettbewerber Dreame musste bei der Sicherheit seiner Apps mehrfach nachbessern.

Mit Dank an M. E.!