Sammy Azdoufal wollte seinen Staubsaugerroboter mit einem PS5-Controller steuern. Wie jeder gute Maker dachte er, es würde Spaß machen, einen neuen DJI Romo manuell zu steuern. Am Ende erhielt er Zugang zu einer Armee von Reinigungsrobotern, die ihm Einblick in Tausende von Haushalten verschafften.
Aus rein spielerischen Gründen nutzte Azdoufal den KI-Codierungsassistenten Claude Code von Anthropic, um die Kommunikationsprotokolle seines Romo zurückzuentwickeln. Als sich seine selbst entwickelte App mit den Servern von DJI verband, begannen etwa 7.000 Staubsaugerroboter in 24 Ländern zu antworten.
Er konnte ihre Live-Kameraaufnahmen ansehen, über die integrierten Mikrofone mithören und Grundrisse von Häusern erstellen, die er nie besucht hatte. Mit nur einer 14-stelligen Seriennummer lokalisierte er den Roboter eines Verge-Journalisten, bestätigte, dass dieser mit 80 % Akkuleistung das Wohnzimmer reinigte, und erstellte aus einem anderen Land heraus eine genaue Karte des Hauses.
Der technische Fehler war fast schon komisch einfach. Der MQTT-Message-Broker von DJI verfügte über keine Zugriffskontrollen auf Themenebene. Sobald man sich mit einem einzigen Gerätetoken authentifiziert hatte, konnte man den Datenverkehr anderer Geräte im Klartext sehen.
Es waren nicht nur Staubsauger, die zurücksprachen. Auch die tragbaren Batteriestationen von DJI Power, die auf derselben MQTT-Infrastruktur laufen, tauchten auf. Dabei handelt es sich um Heim-Notstromaggregate, die auf 22,5 kWh erweiterbar sind und dafür vermarktet werden, Ihr Haus während Stromausfällen am Laufen zu halten.
Was dies von einer herkömmlichen Sicherheitsentdeckung unterscheidet, ist die Art und Weise, wie es geschah. Azdoufal verwendete Claude Code, um die mobile App von DJI zu dekompilieren, ihr Protokoll zu verstehen, sein eigenes Authentifizierungstoken zu extrahieren und einen benutzerdefinierten Client zu erstellen.
KI-Codierungstools senken die Hürden für fortgeschrittene offensive Sicherheitsmaßnahmen. Die Zahl der Personen, die in der Lage sind, Protokolle des Internets der Dinge (IoT) zu untersuchen, ist gerade um ein Vielfaches gestiegen, wodurch das verbleibende Vertrauen in die Sicherheit durch Verschleierung weiter untergraben wird.
Warum viele IoT-Staubsauger schlecht sind
Dies ist nicht das erste Mal, dass jemand einen Staubsaugerroboter aus der Ferne gehackt hat. Im Jahr 2024übernahmen hackers die Kontrolle über Ecovacs Deebot X2-Staubsauger in verschiedenen US-Städten, riefen Beleidigungen über Lautsprecher und jagten Haustiere herum. Der PIN-Schutz von Ecovacs wurde nur von der App überprüft, niemals vom Server oder dem Gerät.
Im vergangenen September hat die südkoreanische Verbraucherschutzbehörde sechs Marken getestet. Während Samsung und LG gut abschnitten, wurden bei drei chinesischen Modellen schwerwiegende Mängel festgestellt. Das Modell X50 Ultra von Dreame ermöglichte die Fernaktivierung der Kamera. Der Forscher Dennis Giese meldete später eine TLS-Sicherheitslücke in der App von Dreame an die CISA. Dreame reagierte nicht auf die Anfragen der CISA.
Das Muster wiederholt sich immer wieder: Hersteller liefern Staubsauger mit offensichtlichen Sicherheitsmängeln aus, ignorieren Forscher und geraten dann in Aufruhr, wenn Journalisten darüber berichten.
Die erste Reaktion von DJI verschlimmerte die Situation noch. Sprecherin Daisy Kong erklärte gegenüber The Verge, dass der Fehler in der Vorwoche behoben worden sei. Diese Erklärung erfolgte etwa 30 Minuten bevor Azdoufal demonstrierte, dass Tausende von Robotern, darunter auch das Testgerät des Journalisten, weiterhin Live-Berichte sendeten. DJI veröffentlichte später eine ausführlichere Erklärung, in der ein Problem bei der Backend-Berechtigungsprüfung eingeräumt und zwei Patches für den 8. und 10. Februar angekündigt wurden.
DJI erklärte, dass TLS-Verschlüsselung stets vorhanden sei, aber Azdoufal sagt, dass dies zwar die Verbindung schützt, nicht jedoch deren Inhalt. Er erklärte gegenüber The Verge außerdem, dass weitere Schwachstellen weiterhin ungepatcht seien, darunter eine PIN-Umgehung beim Kamera-Feed.
Die Regulierungsbehörden üben Druck aus.
Die Regulierung kommt langsam voran. Das Cyber-Resilienz-Gesetz der EU schreibt bis Dezember 2027 verbindliche Sicherheitsstandards für alle im EU-Raum verkauften vernetzten Produkte vor, bei Verstößen drohen Geldstrafen von bis zu 15 Millionen Euro. Das seit April 2024 geltende britische PSTI-Gesetz ist das weltweit erste Gesetz, das Standardpasswörter auf Smart-Geräten verbietet. Das US-amerikanische Cyber Trust Mark hingegen ist freiwillig. Diese Rahmenwerke gelten technisch gesehen unabhängig vom Standort des Herstellers. In der Praxis ist die Verhängung von Geldstrafen gegen ein Unternehmen in Shenzhen, das die Koordinierungsanfragen der CISA ignoriert, jedoch eine ganz andere Sache.
Wie man sicher bleibt
Es gibt praktische Maßnahmen, die Sie ergreifen können:
- Überprüfen Sie vor dem Kauf vernetzter Geräte unabhängige Sicherheitstests.
- Platzieren Sie IoT-Geräte in einem separaten Gastnetzwerk.
- Firmware auf dem neuesten Stand halten
- Deaktivieren Sie Funktionen, die Sie nicht benötigen.
Und fragen Sie sich, ob ein Staubsauger wirklich eine Kamera benötigt. Viele Modelle, die nur mit LiDAR ausgestattet sind, navigieren auch ohne Video effektiv. Wenn Ihr Gerät über eine Kamera oder ein Mikrofon verfügt, überlegen Sie, ob Sie mit dieser Exposition einverstanden sind – oder decken Sie die Linse physisch ab, wenn Sie das Gerät nicht verwenden.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
