Der für seine Drohen bekannte Hersteller DJI hat eine Sicherheitslücke bei seinem ersten Saugroboter DJI ROMO eingeräumt. Nach eigenen Angaben wurde Ende Januar im Rahmen einer internen Überprüfung eine Schwachstelle in der Serverarchitektur entdeckt. Diese habe eine unzureichende Rechteprüfung bei der Kommunikation zwischen Gerät und Cloud betroffen.Konkret ging es um die Verarbeitung von MQTT-Nachrichten, also kurzen Statusmeldungen, die der Roboter regelmäßig an die Server sendet. Laut DJI bestand dadurch theoretisch die Möglichkeit, unbefugt auf Livebilddaten zuzugreifen. Tatsächliche Vorfälle seien jedoch selten gewesen und überwiegend auf Sicherheitsforscher zurückzuführen, die ihre eigenen Geräte getestet hätten.Die Behebung erfolgte in zwei Schritten. Ein erstes Update wurde am 8. Februar ausgerollt, ein weiteres am 10. Februar. Nach Unternehmensangaben wurden verbliebene Serverknoten anschließend neu gestartet, sodass die Schwachstelle vollständig geschlossen sei. Die Datenübertragung zwischen Gerät und Server sei stets per TLS verschlüsselt gewesen. Nutzerdaten europäischer Geräte würden auf einer US-basierten AWS-Cloud-Infrastruktur gespeichert. Ein Eingreifen der Anwender sei nicht erforderlich gewesen.Entwickler hatte Zugriff auf 7.000 Sauger weltweitÖffentlich bekannt wurde das Problem durch Recherchen von The Verge. Dort schilderte ein Entwickler, er habe beim Experimentieren mit einer eigenen Steuerungssoftware Zugriff auf tausende ROMO-Geräte weltweit erhalten. Neben Statusinformationen wie Akkustand und Raumkarten seien zeitweise auch Kameradaten abrufbar gewesen.Wir hatten den ROMO erst kürzlich selbst im Alltag getestet. Dabei überzeugte das Gerät durch leisen Betrieb, strukturierte Navigation und eine zuverlässige Reinigungsleistung. Die Sensorik arbeitet kamerabasiert in Kombination mit LiDAR-Technik, um Räume zu kartieren und Hindernisse zu erkennen. Dass diese Daten über Cloud-Server verarbeitet werden, ist für viele App-gestützte Haushaltsgeräte üblich. Der aktuelle Vorfall zeigt jedoch, wie entscheidend eine saubere Zugriffskontrolle auf Serverebene ist.DJI betont, dass es sich nicht um ein Problem der Transportverschlüsselung gehandelt habe, sondern um eine serverseitige Berechtigungsprüfung. Man verfüge über ein Bug-Bounty-Programm und habe die Hinweise externer Forscher in die Nachbearbeitung einbezogen. Weitere Sicherheitsanpassungen sind angekündigt.In guter GesellschaftEnde 2024 hatte der Saugroboter-Anbieter Ecovacs vergleichbare Probleme und auch Wettbewerber Dreame musste bei der Sicherheit seiner Apps mehrfach nachbessern. function open_amazon(link) { if (navigator.userAgent.indexOf("Firefox") != -1) { window.open(link, '_blank'); } else { var tag = document.createElement('a'); tag.setAttribute('href', link); tag.innerHTML = "amzn"; tag.click(); } } Produkthinweis DJI ROMO P Saugroboter mit Wischfunktion, 25.000 Pa Saugkraft, Hinderniserkennung auf Drohnen-Niveau... 1.189,00 EUR 1.899,00 EUR Mit Dank an M. E.!The post Sicherheitslücke beim DJI ROMO: Videozugriff auf Saugroboter first appeared on ifun.de.