Entwickler hatte Zugriff auf 7.000 Sauger
Sicherheitslücke beim DJI ROMO: Videozugriff auf Saugroboter
Der für seine Drohnen bekannte Hersteller DJI hat eine Sicherheitslücke bei seinem ersten Saugroboter DJI ROMO eingeräumt. Nach eigenen Angaben wurde Ende Januar im Rahmen einer internen Überprüfung eine Schwachstelle in der Serverarchitektur entdeckt. Diese habe eine unzureichende Rechteprüfung bei der Kommunikation zwischen Gerät und Cloud betroffen.
Konkret ging es um die Verarbeitung von MQTT-Nachrichten, also kurzen Statusmeldungen, die der Roboter regelmäßig an die Server sendet. Laut DJI bestand dadurch theoretisch die Möglichkeit, unbefugt auf Livebilddaten zuzugreifen. Tatsächliche Vorfälle seien jedoch selten gewesen und überwiegend auf Sicherheitsforscher zurückzuführen, die ihre eigenen Geräte getestet hätten.
Die Behebung erfolgte in zwei Schritten. Ein erstes Update wurde am 8. Februar ausgerollt, ein weiteres am 10. Februar. Nach Unternehmensangaben wurden verbliebene Serverknoten anschließend neu gestartet, sodass die Schwachstelle vollständig geschlossen sei. Die Datenübertragung zwischen Gerät und Server sei stets per TLS verschlüsselt gewesen. Nutzerdaten europäischer Geräte würden auf einer US-basierten AWS-Cloud-Infrastruktur gespeichert. Ein Eingreifen der Anwender sei nicht erforderlich gewesen.
Entwickler hatte Zugriff auf 7.000 Sauger weltweit
Öffentlich bekannt wurde das Problem durch Recherchen von The Verge. Dort schilderte ein Entwickler, er habe beim Experimentieren mit einer eigenen Steuerungssoftware Zugriff auf tausende ROMO-Geräte weltweit erhalten. Neben Statusinformationen wie Akkustand und Raumkarten seien zeitweise auch Kameradaten abrufbar gewesen.
Wir hatten den ROMO erst kürzlich selbst im Alltag getestet. Dabei überzeugte das Gerät durch leisen Betrieb, strukturierte Navigation und eine zuverlässige Reinigungsleistung. Die Sensorik arbeitet kamerabasiert in Kombination mit LiDAR-Technik, um Räume zu kartieren und Hindernisse zu erkennen. Dass diese Daten über Cloud-Server verarbeitet werden, ist für viele App-gestützte Haushaltsgeräte üblich. Der aktuelle Vorfall zeigt jedoch, wie entscheidend eine saubere Zugriffskontrolle auf Serverebene ist.
DJI betont, dass es sich nicht um ein Problem der Transportverschlüsselung gehandelt habe, sondern um eine serverseitige Berechtigungsprüfung. Man verfüge über ein Bug-Bounty-Programm und habe die Hinweise externer Forscher in die Nachbearbeitung einbezogen. Weitere Sicherheitsanpassungen sind angekündigt.
In guter Gesellschaft
Ende 2024 hatte der Saugroboter-Anbieter Ecovacs vergleichbare Probleme und auch Wettbewerber Dreame musste bei der Sicherheit seiner Apps mehrfach nachbessern.
Hatte den Romo bestellt und irgendwie ein schlechtes Gefühl genau deshalb. Ging deshalb unausgepackt zurück. War wohl ein gutes Bauchgefühl :D
Gute Entscheidung. Glückwunsch dazu.
Wie ist es möglich mittels MQTT auf Kamerabilder zuzugreifen?
Hätte jetzt eher auf Einzelbilder getippt oder Event-Links.
Ah, die große Maschine schreibt, wieder etwas gelernt.
„Bilder werden über MQTT übertragen, indem sie in ein Binärformat (Byte-Array) oder Base64-String umgewandelt und als Payload einer Nachricht publiziert werden. Dies eignet sich besonders für kleine Bilder (z.B. QR-Codes) oder Kameras mit niedriger Auflösung, da MQTT für geringe Bandbreiten optimiert ist.“
Das macht meine Entscheidung, letztes Jahr den Roborock Saros 10R trotz Kamera und entgegen meinem Bauchgefühl gekauft zu haben, noch mal unglücklicher.
Roborock ist ein anderes Level ich denke das du dir bei denen nicht so große Gedanken machen musst.
„Ups“
Ja das ist auch immer mein Bedenken.
Naja jetzt bekommt die Firma erstmal nen gewaltigen Knick
DJI einen Knick? Wäre es nicht so traurig, wofür deren Produkte derzeit hauptsächlich eingesetzt werden, würde ich lachen. Wahrscheinlich die chinesische Firma, die am meisten vom russischen Angriffskrieg gegen die Ukraine profitiert (hat). Vielleicht sollte Rheinmetall auch mal in die Staubsaugerbranche diversifizieren.
Für alle mit bedenken und etwas bastelfähigkeiten:
Kauft nicht den Roboter nach werbeversprechen, sondern nach der kompatibelitätsliste von Valetudo.
Aber zieht es dann auch durch und lasst den nicht auf der orginalen FW so wie ich. -.-
Genau so. Schon mein zweiter ist auf Valetudo. Nie mehr ohne
Zum Glück nur bei so einer Billig-Gurke…
Ich hol mir nur Modelle auf die ich Valetudo bekomme
Es gibt auch noch eine Lücke die gemeldet wurde und der Entdecker noch zurückhält. Da kommt also bald noch etwas.
Wenn das schon DJI passiert, will man wohl lieber nicht wissen, wie sicher die asiatischen Billigsauger sind.
Keine Ahnung, wie oft ich das hier schon proklamiert habe – an Rasenmäher, Fernseher und Staubsauger gehören keine Kameras!
Eigentlich keine Cloud. Die Kamera wird sowieso lokal verarbeitet. Kann jeder testen, der so ein Ding hat. Internet wegnehmen und über die Geräte Tasten starten. Geht.
… oder so – dürfte aber sicher nicht der allgemeine Umgang sein.
Cloud-Verabeitung der SaugRoboterdaten… was für ein Irrsinn.
Ich habe meinem SaugRobi die Cloud wegnehmen können.
Das hier war genau der Fall, den ich nicht haben wollte.