Eine schwerwiegende Sicherheitslücke in den Systemen des Drohnen- und Technologieherstellers DJI hat es ermöglicht, auf tausende Saugroboter des Modells Romo weltweit zuzugreifen. Einem Forscher gelang es, Live-Kamerabilder, Mikrofondaten und detaillierte Grundrisse von Wohnungen einzusehen. DJI hat die Lücke nach eigenen Angaben inzwischen geschlossen.
Der Vorfall wirft ernste Fragen zur Sicherheit von Smart-Home-Geräten und dem Umgang mit sensiblen Nutzerdaten auf. Die Schwachstelle betraf nicht nur die Saugroboter, sondern auch andere vernetzte Produkte des Unternehmens.
Wichtige Erkenntnisse
- Ein Forscher erhielt unbeabsichtigt Zugriff auf rund 7.000 DJI Romo Saugroboter und über 3.000 weitere DJI-Geräte.
- Der Zugriff umfasste Live-Videostreams, Mikrofonaufnahmen und detaillierte 2D-Grundrisse von Wohnräumen.
- Die Schwachstelle lag in einer fehlerhaften Berechtigungsprüfung auf den Backend-Servern von DJI.
- DJI bestätigte die Lücke und erklärte, sie durch zwei serverseitige Updates behoben zu haben.
Ein unerwarteter Fund
Die Entdeckung der Sicherheitslücke war kein gezielter Angriff, sondern das Ergebnis eines privaten Projekts. Der KI-Stratege Sammy Azdoufal wollte lediglich seinen neu erworbenen DJI Romo Saugroboter mit einem PlayStation-5-Controller steuern.
Bei der Entwicklung einer entsprechenden Anwendung zur Fernsteuerung stellte er eine Verbindung zu den Servern von DJI her. Zu seiner Überraschung antwortete jedoch nicht nur sein eigenes Gerät. Stattdessen begannen tausende von Geräten weltweit, Daten an seine Anwendung zu senden.
Azdoufal stellte fest, dass er die volle Kontrolle über diese Geräte übernehmen konnte. Er konnte ihre Kameras und Mikrofone aktivieren, sie fernsteuern und ihre Bewegungen in Echtzeit verfolgen.
Das Ausmaß des Datenlecks
Die Dimension des Problems wurde schnell deutlich. Innerhalb weniger Minuten sammelte Azdoufals Programm die Daten von über 6.700 DJI-Geräten aus 24 Ländern. Neben den Romo-Saugrobotern waren auch die mobilen Stromspeicher des Typs DJI Power betroffen, wodurch die Gesamtzahl der zugänglichen Geräte auf über 10.000 anstieg.
Die Server übermittelten alle drei Sekunden Datenpakete, die eine Fülle von Informationen enthielten:
- Seriennummer des Geräts
- Aktueller Reinigungsstatus und gereinigte Räume
- Akkustand und Ladezyklen
- Zurückgelegte Distanz und erkannte Hindernisse
- IP-Adresse, die eine grobe Standortbestimmung ermöglicht
MQTT: Das Kommunikationsprotokoll
Die Kommunikation zwischen den DJI-Geräten und den Servern erfolgte über das MQTT-Protokoll (Message Queuing Telemetry Transport). Dieses Protokoll ist in der Welt des Internets der Dinge (IoT) weit verbreitet, da es leichtgewichtig und effizient ist. Die Schwachstelle lag jedoch nicht im Protokoll selbst, sondern in der mangelhaften Zugriffskontrolle auf den Servern. Authentifizierte Nutzer konnten Daten von allen Geräten abonnieren, anstatt nur von ihren eigenen.
Besonders alarmierend war der Zugriff auf die von den Saugrobotern erstellten Karten der Wohnräume. Mit nur einer Seriennummer war es möglich, einen präzisen 2D-Grundriss einer fremden Wohnung abzurufen, inklusive der korrekten Form und Größe der einzelnen Zimmer.
Um die Echtheit seiner Entdeckung zu demonstrieren, griff Azdoufal auf sein eigenes Gerät zu und übertrug den Live-Videostream, während er in die Kamera winkte. Dabei umging er mühelos die eigentlich vorgesehene Sicherheits-PIN.
DJIs Reaktion und die Behebung der Lücke
Nachdem Azdoufal und Journalisten DJI über die Schwachstelle informiert hatten, reagierte das Unternehmen. In einer ersten Phase wurde der Fernzugriff auf Kamera und Mikrofon eingeschränkt. Kurze Zeit später wurde der Zugriff vollständig unterbunden.
In einer offiziellen Stellungnahme erklärte DJI, man habe ein „Problem bei der Validierung von Backend-Berechtigungen“ identifiziert. Die Lücke habe theoretisch den unbefugten Zugriff auf Live-Videos ermöglicht. Das Problem sei durch zwei serverseitige Updates am 8. und 10. Februar behoben worden, sodass für Nutzer kein Handlungsbedarf bestehe.
DJI identifizierte eine Schwachstelle, die DJI Home betraf, durch eine interne Überprüfung Ende Januar und leitete sofort Abhilfemaßnahmen ein. [...] Das Problem wurde durch zwei Updates behoben.
Datenübertragung und Speicherung
DJI betonte, dass die Kommunikation zwischen Gerät und Server stets mittels TLS (Transport Layer Security) verschlüsselt war. Die Schwachstelle lag also nicht in der Übertragung selbst, sondern in der Verarbeitung der Daten auf dem Server. Daten von europäischen Nutzern werden laut DJI auf AWS-Cloud-Infrastruktur in den USA gespeichert.
Das Unternehmen gab an, die Lücke bereits Ende Januar intern entdeckt zu haben. Azdoufals öffentliche Dokumentation seiner Funde fiel jedoch in den Zeitraum, in dem das Problem laut DJI noch nicht vollständig auf allen Server-Knoten behoben war.
Bleibende Fragen zur Sicherheit von Smart-Home-Geräten
Obwohl die akute Gefahr gebannt scheint, wirft der Vorfall ein Schlaglicht auf die potenziellen Risiken vernetzter Haushaltsgeräte. Die Tatsache, dass ein einzelner Nutzer ohne böswillige Absicht eine derart weitreichende Sicherheitslücke aufdecken konnte, ist besorgniserregend.
Experten weisen darauf hin, dass die Speicherung von Daten auf US-Servern allein keine Garantie für Sicherheit bietet, wenn die Zugriffskontrollen auf Anwendungsebene unzureichend sind. Sobald ein Nutzer auf dem Server authentifiziert ist, kann er ohne weitere Hürden auf Daten anderer zugreifen, wenn sogenannte Access Control Lists (ACLs) fehlen oder falsch konfiguriert sind.
Der Fall erinnert an ähnliche Vorfälle bei anderen Herstellern von Smart-Home-Produkten in den vergangenen Jahren. Immer wieder werden Schwachstellen entdeckt, die es Angreifern ermöglichen, Kameras zu übernehmen oder private Daten abzugreifen. Für Verbraucher bedeutet dies, dass die Bequemlichkeit vernetzter Geräte stets gegen die potenziellen Risiken für die eigene Privatsphäre abgewogen werden muss.
Sammy Azdoufal hat sein ursprüngliches Ziel übrigens erreicht: Er kann seinen DJI Romo nun mit einem PlayStation-Controller steuern. Seine Entdeckungsreise hat jedoch gezeigt, wie schnell ein harmloses Bastelprojekt die tiefgreifenden Sicherheitsprobleme einer ganzen Produktkategorie offenlegen kann.
