In einem der wohl spektakulärsten digitalen Eigentore der jüngeren IoT-Geschichte hat ein Software-Entwickler versehentlich den „God-Mode“ für rund 7.000 DJI-Saugroboter in 24 Ländern erlangt. Der Sicherheitsforscher Sammy Azdoufal hatte dabei keineswegs vor, einen globalen Roboter-Aufstand anzuzetteln; er wollte lediglich seinen neuen, sündhaft teuren DJI Romo mit einem PlayStation 5-Controller steuern – einfach, weil er es kann.
Um diesen modernen Männertraum zu verwirklichen, nutzte Azdoufal einen KI-Coding-Assistenten, der ihm beim Reverse-Engineering der Kommunikationsprotokolle des Roboters half. Nachdem er den Authentifizierungs-Token seines eigenen Geräts erfolgreich extrahiert hatte, verband er sich mit den DJI-Servern. Doch statt einer Antwort von seinem einsamen Putz-Schergen meldete sich eine ganze Armee von etwa 7.000 Robotern zum Dienst. Die Sicherheitslücke gewährte ihm Zugriff auf Live-Kamera- und Mikrofon-Feeds, Echtzeit-2D-Grundrisse der Wohnungen und den Gerätestatus von tausenden ahnungslosen Besitzern.
Die Ursache des Problems war ein ebenso simpler wie katastrophaler Fehler im Sicherheitskonzept. Die Backend-Server von DJI authentifizierten zwar den Token des Nutzers, versäumten es dann aber offensichtlich, den entscheidenden nächsten Schritt zu machen: zu prüfen, ob der Nutzer auch tatsächlich der Eigentümer des spezifischen Geräts war, auf das er zugreifen wollte. Im Grunde passte jeder gültige Schlüssel in jedes Schloss auf dem Planeten. Azdoufal betonte, dass er „keine Regeln verletzt, nichts umgangen, geknackt oder mit Brute-Force erzwungen“ habe. Er sei schlicht durch eine sperrangelweit offene digitale Tür spaziert.
Warum ist das wichtig?
Dieser Vorfall ist ein Paradebeispiel für die Tücken moderner IoT-Sicherheit. Geräte, die tiefsten Einblick in unsere Privatsphäre haben – inklusive Kameras und Mikrofonen –, werden manchmal mit Sicherheitsvorkehrungen geschützt, die kaum stabiler sind als eine Fliegengittertür. Während das Potenzial für eine massive, globale Verletzung der Privatsphäre enorm war, verhielt sich Azdoufal vorbildlich und meldete die Schwachstelle sofort.
Man muss DJI zugutehalten, dass sie mit beeindruckender Geschwindigkeit reagierten. Nach der Benachrichtigung schloss das Unternehmen die kritische Lücke Berichten zufolge innerhalb von zwei Tagen durch einen serverseitigen Fix, ohne dass die Nutzer selbst aktiv werden mussten. Auch wenn die Frage bleibt, wie ein so fundamentaler Fehler es überhaupt in die Produktion schaffen konnte, verhinderte die schnelle Reaktion eine Katastrophe. Es bleibt eine Lehre für alle IoT-Hersteller: Schließt eure Türen ab – und stellt sicher, dass die Schlüssel nicht für die gesamte Nachbarschaft funktionieren.
