Thought Leadership
Wer zu Hause oder im Büro einen smarten Saugroboter betreibt, gibt damit möglicherweise mehr preis als gedacht. Ein aktueller Vorfall zeigt, wie leichtfertig manche Hersteller mit sensiblen Nutzerdaten umgehen.
Sammy Azdoufal, von Beruf KI-Stratege, wollte seinen Saugroboter vom Typ DJI Romo kurzerhand mit einem PlayStation-Controller bedienen. Also schrieb er sich eine App, analysierte mit Claude Code das Kommunikationsprotokoll seines Geräts und extrahierte dafür den eigenen Authentifizierungstoken. Soweit, so harmlos.
Das Ergebnis war dann jedoch alles andere als das. Azdoufals App verband sich nicht nur mit seinem eigenen Gerät, sondern mit knapp 6.700 Saugrobotern auf der ganzen Welt. Auf einen Schlag hatte er Einblick in Grundrisse fremder Wohnungen, konnte auf Live-Übertragungen von Kamera und Mikrofon zugreifen und die Geräte aus der Ferne steuern. Geräte in den USA, in Europa und in China.
Das Passwort lag offen herum
Azdoufal hat sich dabei nichts zuschulden kommen lassen. „Ich habe keine Regeln verletzt, nichts geknackt, kein Brute-Forcing betrieben, nichts dergleichen”, sagte er gegenüber The Verge. Er hat schlicht seinen eigenen Token benutzt, und der hat Türen geöffnet, die längst verschlossen sein sollten.
DJI speichert die Nutzerdaten seiner Romo-Flotte offenbar unverschlüsselt im Klartext auf den eigenen Servern. Wer also irgendwie Zugang zu diesen Servern erlangt, kann dort einfach mitlesen. Keine weiteren Hürden, keine zusätzliche Absicherung.
DJI flickt, aber nicht vollständig
Immerhin verhielt sich Azdoufal verantwortungsvoll und meldete den Vorfall an DJI. Der Hersteller reagierte und schloss die Lücke in zwei aufeinanderfolgenden Updates, ohne dass betroffene Nutzer selbst etwas unternehmen mussten. Doch laut Azdoufal ist die Sache damit noch nicht erledigt. So lasse sich der Videostream eines Romo nach wie vor ohne PIN-Abfrage aufrufen. Eine weitere Schwachstelle behält er vorerst für sich, da er deren öffentliche Nennung für zu riskant hält.
