Spanischer Ingenieur übernimmt versehentlich 7.000 DJI Staubsaugerroboter, Sicherheitslücken bei Smart-Home-Geräten erneut entdeckt
Intelligente Haustechnikgeräte bringen Komfort in den Alltag, können aber auch Sicherheitslücken öffnen. Kürzlich entdeckte ein spanischer Softwareingenieur zufällig, dass er etwa 7.000 Staubsaugerroboter weltweit aus der Ferne steuern, Live-Bilder ansehen und große Mengen an Geräteinformationen sammeln konnte. Angesichts des prognostizierten Wachstums des Smart-Home-Marktes auf 139 Milliarden US-Dollar bis 2032 wird die Frage, ob Sicherheitsmechanismen mit den Innovationen Schritt halten können, zu einem entscheidenden Thema.
Versuch, Staubsauger umzubauen, und unerwartete Sicherheitslücke entdeckt
Laut dem Tech-Medium „The Verge“ begann der Vorfall mit einem Experiment des spanischen Softwareingenieurs Sammy Azdoufal. Er wollte seinen neu gekauften DJI Romo Staubsaugerroboter reverse engineering, um das Gerät mit einem PlayStation 5-Controller zu steuern.
Doch nachdem er eine selbst entwickelte Fernsteuerungs-App mit den DJI-Servern verbunden hatte, entwickelte sich die Situation unerwartet: Nicht nur ein Roboter reagierte, sondern etwa 7.000 Staubsaugerroboter weltweit „nahmen ihn als Besitzer an“.
Azdoufal stellte fest, dass er nicht nur die Live-Bilder der Geräte sehen und Ton aufnehmen konnte, sondern auch über 100.000 Nachrichten von verschiedenen Robotern sammelte. Er konnte sogar anhand der IP-Adressen der Geräte deren ungefähren Standort ermitteln.
Das bedeutet, dass bei gleichen Zugangsdaten die Kontrolle über andere Geräte in großem Umfang übernommen werden könnte.
DJI reagiert: Sicherheitslücke behoben, Azdoufal droht Klage
Wichtig ist, dass Azdoufal betont, keine bösen Absichten zu haben und nicht absichtlich in andere Geräte eingedrungen zu sein. Er kontaktierte proaktiv DJI, um die Sicherheitslücke zu melden, in der Hoffnung, das Problem zu beheben.
DJI bestätigte später, dass das Problem behoben wurde, und dankte Azdoufal öffentlich auf der Plattform X für den Hinweis.
„Ihr verantwortungsvolles Feedback ist für uns äußerst wertvoll“, erklärte DJI.
Azdoufal antwortete humorvoll auf X, bezeichnete sich selbst als „the vacuum guy“ und scherzte, dass ihm viele Menschen kostenlose Staubsaugerroboter angeboten hätten.
Dennoch befürchtet er, dass DJI ihm möglicherweise rechtliche Schritte androht, da die Medien darüber berichten.
Sicherheitsexperten warnen: Sicherheitslücken bei Smart-Geräten werden oft ignoriert
Tatsächlich ist dies kein Einzelfall. Alan Woodward, Professor für Informatik an der University of Surrey, erklärte, dass viele Hersteller bei der Produktentwicklung in der Anfangsphase „Innovation“ und „Markteinführung“ priorisieren, während Sicherheitsaspekte nachträglich ergänzt werden.
Woodward sagte, die Branche verfolge oft eine „schnelle Umsetzung, unkonventionelle Wege“-Mentalität, um günstigere und funktionsreichere Produkte auf den Markt zu bringen. Doch frühe Softwareentwicklung zeige, dass das Ignorieren von Sicherheitsdesigns letztlich zu Sicherheitslücken führe.
Er betonte, dass Sicherheitsprobleme bei Smart-Geräten nicht nur auf einzelne Softwarefehler zurückzuführen seien, sondern auf das Gesamtdesign des Systems, etwa:
-
Wie die Geräte-Software mit Cloud-Servern interagiert
-
Wie die Server mit mobilen Apps verbunden sind
-
Ob die Authentifizierungsmechanismen effektiv verschiedene Nutzer isolieren
Wenn eine dieser Komponenten fehlerhaft gestaltet ist, besteht das Risiko einer Kettenreaktion.
Smart-Home-Markt explodiert, Risiken steigen gleichzeitig
Laut Marktforschungsinstitut MarketsandMarkets wird der globale Smart-Home-Markt bis 2032 auf 139 Milliarden US-Dollar anwachsen. Von intelligenten Beleuchtungen, Türschlössern, Überwachungskameras, Babyphones bis hin zu Heizsystemen dringen immer mehr Geräte in den Haushalt vor.
Eine Studie im „Journal of Information Security and Applications“ zeigt jedoch, dass Hacker erfolgreich Kontrolle über:
-
Beleuchtungssysteme
-
Elektronische Türschlösser
-
Sicherheitskameras
-
Babyphones
-
Heizsysteme
erlangt haben. Der Vorfall mit den Staubsaugerrobotern ist nur einer von vielen. Je mehr Geräte vernetzt sind, desto größer wird die potenzielle Angriffsfläche.
Ursprung der Sicherheitslücke: Standard-Zugangsdaten und unzureichende Trennung der Berechtigungen
In diesem Fall konnte Azdoufal die Kontrolle über andere Geräte erlangen, weil seine Zugangsdaten Zugriff auf weitere Roboter ermöglichten.
Woodward rät Unternehmen, bei der Erstaktivierung des Produkts verpflichtend individuelle Passwörter zu verlangen, anstelle von einheitlichen oder ableitbaren Standard-Zugangsdaten. Zudem müsse das Entwicklungsteam das System umfassend auf mögliche Angriffswege prüfen, nicht nur einzelne Module.
Er betonte, dass Cybersicherheit nicht nur Programmieren sei, sondern Teil der gesamten Produktentwicklungskultur.
Verbraucher sollten ebenfalls wachsam sein
Neben der Verantwortung der Hersteller sollten Verbraucher die Datenschutzrisiken smarter Geräte sorgfältig abwägen.
Woodward sagte: „Nur weil man es kann, heißt das nicht, dass man es auch tun sollte.“
Smart-Home-Geräte machen das Leben zwar komfortabler, doch wenn Geräte mit Kameras, Mikrofonen und Ortungsfunktionen missbraucht werden, können die Folgen weit über die Erwartungen hinausgehen.
Dieser Artikel „Spanischer Ingenieur übernimmt versehentlich 7000 DJI Staubsaugerroboter, Sicherheitslücke bei Smart-Home-Geräten erneut entdeckt“ erschien zuerst bei Chain News ABMedia.