Auf einen Blick
Eine Saugroboter Sicherheitslücke in der Cloud-Anbindung des DJI-Modells Romo soll den Zugriff auf Telemetrie und Funktionen tausender Geräte ermöglicht haben. Berichte nennen rund 7000 betroffene Geräte in mehreren Ländern. DJI spricht von einem Backend-Fehler und hat nach eigenen Angaben Korrekturen ausgerollt.
Das Wichtigste
- Ein Entwickler zeigte, dass sich über die MQTT-Kommunikation des DJI Romo Daten und Statusmeldungen vieler Geräte einsehen ließen.
- DJI nannte als Ursache eine fehlerhafte Berechtigungsprüfung im Backend und verwies auf zwei serverseitige Patches Anfang Februar.
- Die Berichte beziffern die Reichweite auf rund 7000 Geräte in etwa zwei Dutzend Ländern, darunter auch europäische Standorte.
Zugriff über die Cloud-Steuerung
Bei Saugrobotern hängt die Steuerung häufig an Cloud-Diensten, die Geräte mit Apps verbinden. Im Fall des DJI Romo hat eine fehlerhafte Zugriffskontrolle in dieser Infrastruktur nach Medienberichten dazu geführt, dass ein einzelner legitim angemeldeter Client Daten anderer Geräte empfangen konnte. Dadurch rückt erneut die Absicherung von IoT-Backends in den Fokus, besonders bei Modellen mit Sensorik für Karten und Orientierung.
Berichte nennen MQTT-Themen ohne ausreichende Zugriffskontrolle
Wie The Verge und Malwarebytes Labs berichten, habe ein Entwickler mit einem eigenen Client die Kommunikation der Geräte über einen MQTT-Broker analysiert. Demnach konnte ein authentifizierter Zugang breit auf Themen abonnieren und dabei Statusdaten und weitere Telemetrie mehrerer Geräte beobachten. The Verge beziffert die Zahl der so erkennbaren Geräte auf rund 7000. DJI erklärte dem Bericht zufolge, es habe sich um ein Problem bei der Berechtigungsprüfung im Backend gehandelt. Das Unternehmen habe am 8. und 10. Februar Korrekturen ausgerollt.
Folgen für Privatsphäre und Fernsteuerung
Das Risiko liegt weniger in der Funkverbindung im Haushalt als in der zentralen Verteilung von Nachrichten über die Cloud. Wenn Berechtigungen auf Topic-Ebene nicht strikt greifen, kann ein gültig angemeldeter Client mehr als das eigene Gerät sehen. Abhängig von den übertragenen Inhalten betrifft das neben Gerätestatus auch Karten- und Nutzungsdaten. Ob und in welchem Umfang solche Zugriffe außerhalb von Tests stattgefunden haben, ist derzeit nicht bekannt.
Weitere Schritte nach dem Patch
DJI geht nach Angaben in den Berichten von einer behobenen Schwachstelle aus. Bei Vorfällen dieser Klasse folgen in der Regel interne Prüfungen der Token- und Rechtevergabe sowie Anpassungen an Monitoring und Protokollierung der Broker-Infrastruktur. Ob DJI eine separate Sicherheitsmitteilung oder eine externe Überprüfung veröffentlicht, blieb bislang offen.
Einordnung
Der Fall zeigt eine typische Schwachstelle vernetzter Haushaltsgeräte, wenn Backend-Systeme Rechte zu großzügig vergeben. Die von DJI genannten Korrekturen setzen am Server an und sollen den Zugriff auf fremde Geräte unterbinden. Für die Branche bleibt der Vorfall ein Hinweis, dass Transportverschlüsselung allein keine feingranulare Autorisierung ersetzt.
