Auf einen Blick
DJI hat nach eigenen Angaben eine Roboterstaubsauger-Sicherheitslücke in Geräten der Reihe Romo geschlossen. Ein Sicherheitsforscher hatte zuvor Zugriff auf Telemetriedaten, Grundrisse und teils Kamerabilder fremder Geräte gezeigt. Für Nutzer ist damit vor allem der Update-Stand der betroffenen Modelle relevant.
Das Wichtigste
- DJI hat im Februar zwei Korrekturen für eine Lücke in der Cloud-Anbindung von Romo-Roboterstaubsaugern ausgerollt.
- Ein Forscher berichtete von Zugriff auf rund 6.700 Geräte in mehreren Ländern über fehlerhafte MQTT-Berechtigungen.
- Betroffen waren laut Hersteller Romo-Geräte im Zusammenspiel mit der App DJI Home. Die Updates wurden automatisch verteilt.
DJI meldet behobene Schwachstelle
DJI hat eine Sicherheitslücke bei seinen Romo-Roboterstaubsaugern nach eigenen Angaben geschlossen. Auslöser war die Veröffentlichung eines Forschers, der den Zugriff auf Daten fremder Geräte demonstrierte. Damit rückt die Frage in den Vordergrund, ob betroffene Geräte und die zugehörige App den aktuellen Softwarestand haben.
Zugriff lief über Cloud-Berechtigungen
Nach Darstellung von DJI lag das Problem in der serverseitigen Prüfung von Berechtigungen innerhalb des Dienstes DJI Home. Der Forscher Sammy Azdoufal schilderte gegenüber The Verge, dass sich über die MQTT-Anbindung Daten anderer Geräte abrufen ließen. Dazu zählten dem Bericht zufolge Telemetriedaten, Seriennummern, Batteriestand und Raumkarten. In einzelnen Fällen waren vor den Korrekturen auch Kamerabilder erreichbar. DJI erklärte, am 8. und 10. Februar Updates eingespielt zu haben und die Lücke damit geschlossen zu haben.
Folgen für Nutzer in Deutschland und der EU
Für Nutzer bedeutet der Vorfall vor allem ein mögliches Risiko für Wohnungsgrundrisse und Gerätedaten, bei einzelnen Modellen auch für Bildübertragungen. DJI spricht von automatischen Aktualisierungen, ohne konkrete Angaben zur Zahl der tatsächlich betroffenen Kunden zu machen. Institutionell ist der Fall vor allem ein Beispiel dafür, dass die Absicherung von Cloud-Diensten bei vernetzten Haushaltsgeräten ebenso relevant ist wie die Firmware auf dem Gerät selbst.
Weitere Prüfung richtet sich auf die Umsetzung
Als nächster Punkt bleibt die technische Überprüfung der ausgerollten Korrekturen maßgeblich. The Verge berichtete, dass die erste Abhilfe nach Angaben des Forschers zunächst nicht auf allen Diensten wirksam war und eine weitere Nachbesserung folgte. DJI hält an der Darstellung fest, dass das Problem behoben ist. Ob Behörden den Fall weiter aufgreifen, ist bislang offen.
Vorfall mit Breitenwirkung
Der Fall zeigt eine konkrete Schwachstelle bei vernetzten Haushaltsgeräten mit Cloud-Anbindung. Für Betroffene zählt nun vor allem, ob die von DJI verteilten Updates auf Gerät und App bereits aktiv sind. Die Einordnung fällt deshalb nüchtern aus: Es handelt sich um einen behobenen, aber in seiner Reichweite erheblichen Sicherheitsvorfall.
