- Ein Softwareingenieur wollte DJI-Roboterstaubsauger mit einem Game-Controller steuern und erhielt dabei Zugriffsrechte auf 7.000 Geräte
- Während der Entwicklung einer eigenen App entdeckte er mithilfe eines KI-Coding-Assistenten beim Reverse Engineering der Cloud-Kommunikation eine Sicherheitslücke, durch die dieselben Anmeldedaten auch für andere Geräte galten
- Dadurch konnten sensible Informationen wie Live-Kamerabilder, Mikrofon-Audio und Kartendaten von Geräten in 24 Ländern offengelegt werden
- Er nutzte dies nicht missbräuchlich, sondern meldete den Fall an The Verge; DJI erklärte, sofort einen Patch ausgerollt und das Problem behoben zu haben
- Der Vorfall gilt als warnendes Beispiel für Sicherheitslücken bei Smart-Home-Geräten und die Verstärkung von Risiken durch KI-Tools
Schwerwiegende Sicherheitslücke in DJI-Roboterstaubsaugern entdeckt
- Der Ingenieur Sammy Azdoufal entdeckte das Problem, als er eine App entwickelte, um seinen DJI Romo-Roboterstaubsauger mit einem Game-Controller zu steuern
- Er nutzte einen KI-Coding-Assistenten, um die Kommunikation zwischen dem Roboter und den DJI-Cloud-Servern zu analysieren
- Der Server prüfte nicht nur die Authentifizierung eines einzelnen Geräts, sondern gewährte denselben Zugriff auch auf Tausende andere Geräte
- Dadurch konnte er auf Kamera, Mikrofon, Karten- und Statusdaten von mehr als 7.000 Roboterstaubsaugern zugreifen
- Über die IP-Adressen ließ sich auch der ungefähre Standort der Geräte erkennen
- Er bezeichnete dies nicht als „Hacking“, sondern als zufällig entdecktes Sicherheitsproblem
Reaktion von DJI und Sicherheitspatch
- DJI erklärte, bei einer internen Prüfung Ende Januar eine Schwachstelle im Zusammenhang mit DJI Home bestätigt und sofort mit der Behebung begonnen zu haben
- Am 8. Februar wurde ein erster Patch, am 10. Februar ein Folge-Update automatisch ausgerollt
- Das Problem wurde ohne Zutun der Nutzer vollständig behoben
- DJI kündigte an, zusätzliche Maßnahmen zur Sicherheitsverstärkung weiter umzusetzen, nannte jedoch keine konkreten Details
- Azdoufal meldete das Problem an The Verge und trug so zu einer schnellen Reaktion von DJI bei
Wachsende Sorgen um die Sicherheit von Smart-Home-Geräten
- Der Vorfall zeigt, dass internetfähige Roboter und Smart-Home-Geräte attraktive Ziele für Hacker sein können
- Jüngste Fälle wie die Werbekontroverse um Ring-Kameras und die Wiederherstellung von Google-Nest-Videos haben die Sorgen der Verbraucher um ihre Privatsphäre verstärkt
- In den USA wurden einige Produkte unter Verweis auf Sicherheitsrisiken chinesischer Technikprodukte wie DJI bereits verboten
Die Verbreitung von Smart Homes und das Paradox der Privatsphäre
- Stand 2020 besaßen in den USA 54 Millionen Haushalte Smart-Home-Geräte
- Wer einmal solche Geräte installiert hat, neigt dazu, weitere hinzuzukaufen
- Unternehmen wie Tesla, Figure und 1X entwickeln humanoide Roboter für den Haushalt; einige Modelle sind bereits im Verkauf
- Solche Roboter müssen detaillierte Informationen aus dem Inneren von Wohnungen erfassen, wodurch das Risiko der Offenlegung persönlicher Daten steigt
Die Herausforderung, technologischen Fortschritt und Sicherheit auszubalancieren
- KI-gestützte Coding-Tools steigern die Entwicklungseffizienz, erhöhen aber zugleich die Möglichkeit, dass auch Nichtfachleute Schwachstellen ausnutzen können
- Der Vorfall wird als Erinnerung an die Bedeutung von Sicherheitsmanagement in einer KI-IoT-Umgebung bewertet
- Azdoufal erreichte am Ende zwar sein ursprüngliches Ziel, den Roboter mit einem Game-Controller zu steuern, legte dabei aber auch Schwachstellen in der Smart-Home-Sicherheit offen
1 Kommentare
Hacker-News-Kommentare
Er stellte fest, dass er mit den Zugangsdaten zur Steuerung seines eigenen Geräts auf Kameras, Mikrofone, Karten und Statusdaten von etwa 7.000 Roboterstaubsaugern in 24 Ländern weltweit zugreifen konnte
Letztes Jahr habe ich genau dasselbe Problem beim Mysa Smart-Thermostat entdeckt und offengelegt; mit denselben Zugangsdaten konnte man alle Geräte steuern
Details dazu sind im früheren HN-Thread zusammengefasst
Der Gedanke, dass ein billiger Staubsauger das Zuhause ausspionieren kann, ist beängstigend
Mein Haier-Minisplit zu Hause ist ebenfalls per WiFi über die GE Home App verbunden und sendet Daten an die GE Cloud
Ich habe es einmal ausprobiert, dann sofort das WiFi-Passwort geändert und es nie wieder verbunden
Später will ich es mit ESP32, Sensoren und IR-Sender/Empfänger selbst steuern
Wenn es in solchen Systemen Schwachstellen gibt, könnte ein Angreifer womöglich einen massiven Anstieg des Strombedarfs auslösen
Inzwischen fühlt es sich an, als hätten wir die Privatsphäre aufgegeben
Die Leute akzeptieren ganz selbstverständlich, dass Kameras in ihrem Zuhause mit externen Servern verbunden sind
Die kleine Minderheit, die sich daran stört, geht in der Masse unter
Am Ende sind nur diejenigen im Nachteil, die sich um Privatsphäre sorgen
Mein Roomba ist so eingestellt, dass er jeden Tag um 17 Uhr läuft, aber mehrmals ist er um 19 Uhr von allein aufgewacht, ins Schlafzimmer gefahren und dort 5–10 Minuten geblieben, bevor er zurückkehrte
Ich habe keine Ahnung, warum
Es klingt buchstäblich so, als würde er nur neben dem Bett stehen und dann wieder zurückfahren
Für einen kurzen Moment gab es einen Mann, der in der Geschichte der Menschheit mehr eingesaugt hat als jeder andere
(eine humorvolle Formulierung zum Roboterstaubsauger-Vorfall)
Ich bevorzuge Geräte ohne Internetverbindung
Die Grundfunktionen sollten auch offline zuverlässig funktionieren, und das Internet sollte idealerweise nur Zusatzfunktionen über offene Sicherheitsprotokolle bereitstellen
Dann kann man sie auch selbst implementieren
Vor 10 Jahren nutzte ich bei einem Startup einen 401k-Anbieter, und nach dem Login konnte ich plötzlich Kontoinformationen meiner Kollegen sehen
Die Kontentrennung war komplett kaputt
Ich war schockiert, habe es aber stillschweigend hingenommen, um keine weitere Preisgabe privater Daten auszulösen
Rückblickend hätte ich das Problem offensiver ansprechen sollen
Aber wenn die Gegenseite lustlos reagiert, dann halte ich es für sinnvoll, das Problem öffentlich zu machen
Dank des technischen Fortschritts ist Stephen Wrights Witz inzwischen sozusagen auf Internetmaßstab Realität geworden:
„Ich habe einen Schalter umgelegt, der mit nichts verbunden war, und dann bekam ich einen Anruf aus Deutschland.“
Originalartikel: The Verge - DJI-Romo-Hacking-Schwachstelle
Zugehörige HN-Diskussion: Link
Ich habe absichtlich ein Modell ohne Kamera oder Mikrofon gekauft
Ich habe das nicht selbst überprüft, aber es war die einzige chinesische Marke, die Datenlokalität und Privatsphäre erwähnt hat, deshalb habe ich sie gewählt
Natürlich ist mir klar, dass sich das mit einem Firmware-Update jederzeit ändern könnte
Trotzdem bin ich wegen des Preis-Leistungs-Verhältnisses zufrieden
Sie wirkte zwar ineffizient, aber die tatsächliche Reinigungsleistung war ziemlich ordentlich
Wer technisch auch nur ein wenig versiert ist, sollte meiner Meinung nach einen mit Valetudo kompatiblen Staubsauger kaufen und die Standardsoftware ersetzen
Offizielle Valetudo-Website
Ich bin technisch versiert, aber ich nutze einen Roboterstaubsauger, um Zeit zu sparen und wertvollere Dinge zu tun
Valetudo passt nicht zu diesem Zweck
Es ist ein tolles Projekt, aber nicht für jeden die beste Wahl