Sicherheitslücke bei Saugrobotern: Tüftler erhält Zugriff auf tausende Geräte
Ein Tüftler wollte Veränderungen an seinem Staubsaugerroboter vornehmen. Dabei deckte er eine Sicherheitslücke auf und erlangte Zugriff auf tausende Geräte.
(Bild: Diego Cervo/Shutterstock.com)
Smarte Staubsaugerroboter sollen eigentlich eine Hilfe im Haushalt sein. In einigen Fällen mutieren die Putzhelfer aber zur Gefahr für Privatsphäre und Datenschutz. Das zeigte schon der Fall des Herstellers Roomba, bei dem Bilder von intimen Situationen der Besitzer im Netz landeten. Und bei Deebot gab es einen Vorfall, durch den die Roboter gehackt und ferngesteuert werden konnten – und dadurch etwa rassistische Nachrichten der Hacker über ihre Lautsprecher wiedergaben.
Die Sicherheitslücke in DJI-Staubsaugerrobotern
Wie The Verge berichtet, reiht sich jetzt ein neuer Sicherheitsvorfall bei Staubsaugern in diese Vorfälle ein. Sammy Azdoufal, Head of AI bei der französischen Immobilienverwaltung Emerald Stay, wollte eigentlich nur seinen neuen DJI-Staubsaugerroboter modifizieren, sodass er das Gadget auch mit einem PS5-Controller steuern kann. Um das zu erreichen, hat er mit Claude Code eine Anwendung per Reverse-Engineering erstellt, um auf den sogenannten Private Token zugreifen zu können – ein digitaler Schlüssel, um Zugriff auf die Daten des Geräts zu bekommen.
Videos by heise
Statt nur Zugriff auf seinen eigenen Schlüssel und damit DJI-Staubsaugerroboter zu bekommen, fand die App tausende Geräte. Azdoufal konnte sich mit den Servern von DJI verbinden und dort unverschlüsselte Informationen über andere Nutzer einsehen. Dazu zählten die Seriennummer ihrer Staubsaugerroboter, welche Räume sie aktuell reinigen und welchen Hindernissen sie beim Saugen ausweichen mussten.
Zudem bekam Azdoufal Zugriff auf die Raumpläne, die die Staubsaugerroboter für ihre Fahrten erstellten. Und damit nicht genug: Der Tüftler war sogar in der Lage, das Live-Kamerabild von den Gadgets abzurufen und sie aus der Ferne zu steuern. Das stellte er etwa mit seinem eigenen Roboter unter Beweis. Er hätte theoretisch aber auch auf Geräte in China oder den USA zugreifen können, obwohl er selbst in Europa sitzt. Wäre die Sicherheitslücke von Cyberkriminellen ausgenutzt worden, hätten sie intime Einblicke in die Leben tausender User gehabt.
Das Problem wurde von Azdoufal und The Verge an DJI gemeldet. Innerhalb kürzester Zeit konnte der Hersteller die Sicherheitslücke schließen. Seither funktioniert die App des Tüftlers nicht mehr. Laut DJI war das Problem schon vor der Offenlegung bekannt und eine Lösung in Arbeit. Offenbar gab es einen Fehler bei der Verifizierung von Zugriffsrechten, der die Daten von Geräten offenlegte. Laut DJI hätte es dadurch allerdings nur „das theoretische Potenzial“ gegeben, unautorisierten Zugriff auf Live-Bilder der Staubsaugerroboter zu bekommen.
Dieser Beitrag ist zuerst auf t3n.de erschienen.
(jle)
