Ein Softwareentwickler verschaffte sich versehentlich Zugriff auf die Live-Kamerabilder, Mikrofon-Audiodaten und Standortdaten von fast 7.000 DJI-Saugerrobotern in 24 Ländern. Der Vorfall macht auf eine kritische Sicherheitslücke in den Geräten aufmerksam und wirft Fragen zu den Auswirkungen der zunehmend vernetzten Smart-Home-Technologie auf die Privatsphäre auf.
Unbeabsichtigter Zugriff, globales Ausmaß
Als Sammy Azdoufal versuchte, eine benutzerdefinierte Fernbedienungs-App für seinen DJI Roborock-Staubsauger zu erstellen, entdeckte er eine Backend-Schwachstelle, die ihm Zugriff auf eine erstaunliche Anzahl anderer Geräte ermöglichte. Indem er einen KI-Codierungsassistenten einsetzte, um die Kommunikation des Roboters mit den Cloud-Servern von DJI zurückzuentwickeln, stieß er auf ein Problem mit den Anmeldedaten. Anstatt auf sein eigenes Vakuum beschränkt zu sein, behandelten ihn die Server als Besitzer von Tausenden weiteren. Dies bedeutete, dass er Kamerastreams in Echtzeit anzeigen, Mikrofone aktivieren, Grundrisse erstellen und ungefähre Standorte über IP-Adressen ermitteln konnte.
Hier geht es nicht um Hacking; Es handelt sich um einen systemischen Fehler bei der Authentifizierung. Die Schwachstelle hat eine Armee von mit dem Internet verbundenen Robotern freigelegt, die in den falschen Händen leicht zur Überwachung hätten eingesetzt werden können.
DJIs Reaktion und weitere Auswirkungen
DJI behauptet, das Problem mit zwei im Februar bereitgestellten Updates gelöst zu haben, und gibt an, dass keine Benutzeraktion erforderlich sei. Der Vorfall unterstreicht jedoch einen wachsenden Trend: Smart-Home-Geräte sind attraktive Ziele für böswillige Akteure. Da Haushalte immer mehr Roboter einsetzen, darunter auch fortschrittliche humanoide Modelle, werden Schwachstellen wahrscheinlich schwerer zu erkennen sein.
Der Romo-Roboter, der im Einzelhandel etwa 2.000 US-Dollar kostet, ist auf die ständige Datenerfassung – visuelle Feeds und detaillierte Grundrisse – angewiesen, um autonom zu funktionieren. Diese Daten werden teilweise auf den Servern von DJI gespeichert, wodurch eine zentrale Fehlerquelle entsteht. Die Entdeckung des Ingenieurs zeigt, dass bei diesen Systemen häufig der Komfort wichtiger ist als die Sicherheit.
Ein umfassenderes Muster von Datenschutzbedenken
Die DJI-Sicherheitslücke ist kein Einzelfall. Jüngste Kontroversen rund um Ring-Kameras, Google Nest-Türklingeln und anhaltende geopolitische Bedenken rund um chinesische Technologiehersteller verdeutlichen ein größeres Muster der Erosion der Privatsphäre im Smart-Home-Bereich. Gesetzgeber in den USA haben vor den Sicherheitsrisiken von in China hergestellten Geräten gewarnt, konkrete Beweise bleiben jedoch unklar.
Die Realität ist, dass viele Smart-Home-Geräte in der Vergangenheit fragwürdige Sicherheitspraktiken aufweisen, obwohl sie in den privatesten Bereichen unseres Lebens eingesetzt werden. Marktforschungen zeigen, dass Verbraucher diese Geräte nicht nur nutzen, sondern aktiv nach mehr suchen. Bis 2020 hatten bereits über 54 Millionen US-Haushalte mindestens ein Smart-Home-Gerät installiert.
Die Zukunft der Heimautomation
Unternehmen wie Tesla und Figure liefern sich einen Wettlauf um die Entwicklung vollständig autonomer humanoider Roboter für den Hausgebrauch. Um effektiv zu funktionieren, benötigen diese Maschinen einen beispiellosen Zugang zu intimen Details unserer Häuser. Daraus ergibt sich eine erschreckende Aussicht: Für böswillige Akteure ist das Ausnutzungspotenzial immens.
Die zufällige Entdeckung durch Azdoufal ist eine deutliche Erinnerung daran, dass der Ansturm auf die Smart-Home-Technologie durch strenge Sicherheitsmaßnahmen gebremst werden muss. Während er seinen Roboter lediglich mit einem Joystick steuern wollte, offenbarte seine Erfahrung einen grundlegenden Fehler in der Architektur vernetzter Geräte. Mit fortschreitender Technologie wird die Grenze zwischen Bequemlichkeit und Überwachung immer weiter verschwimmen und sowohl von Herstellern als auch von Verbrauchern eine größere Wachsamkeit erfordern.
