Romo: DJI-Staubsaugerroboter gehackt
Ein Entwickler aus Barcelona hat gravierende Sicherheitsmängel im DJI Romo Saugroboter entdeckt: Dabei wollte Sammy Azdoufal ursprünglich nur seinen eigenen Roboter per Playstation-Controller steuern – er erhielt so jedoch Zugriff auf etwa 7.000 Geräte weltweit.
Azdoufal konnte die Roboter fernsteuern, Live-Kamerafeeds einsehen und Grundrisse der Wohnungen betrachten, in denen die Geräte im Einsatz waren. "Ich stellte fest, dass mein Gerät nur eines von unzähligen anderen Geräten war" , sagte er über seine Entdeckung zu The Verge(öffnet im neuen Fenster) . Die Schwachstelle ermöglichte demnach auch den Zugriff auf die Standorte der Geräte über deren IP-Adressen.
Bei einer Live-Demonstration für The Verge katalogisierte Azdoufals Notebook innerhalb von neun Minuten 6.700 DJI-Geräte in 24 Ländern. Die Roboter sendeten alle drei Sekunden MQTT-Datenpakete(öffnet im neuen Fenster) mit Informationen über Seriennummern, gereinigten Räumen und zurückgelegten Strecken.
Zugriff ohne Authentifizierung möglich
Der Entwickler nutzte nach eigenen Angaben keine Hacking-Methoden. Er extrahierte lediglich den privaten Token seines eigenen DJI Romo – einen Schlüssel für den Zugriff auf eigene Gerätedaten. Die DJI-Server gewährten ihm damit jedoch Zugang zu Daten tausender anderer Nutzer.
The Verge konnte die Sicherheitslücke mit einem Testgerät verifizieren. Nur mit der 14-stelligen Seriennummer konnte Azdoufal den aktuellen Status des Roboters abrufen. Und innerhalb weniger Minuten wurde ein vollständiger Grundriss des Hauses übertragen.
Azdoufal zeigte zudem, dass er den Live-Video-Feed seines eigenen Roboters ohne Eingabe der Sicherheits-PIN abrufen konnte. Ein weiterer Tester erhielt mit der Software Zugriff auf den Kamera-Feed seines DJI Romo, bevor er das Gerät überhaupt gekoppelt hatte.
Gegenreaktion von DJI
DJI reagierte auf die Meldungen und schränkte zunächst die Fernsteuerung und den Kamerazugriff ein. Bis Mittwochmorgen war der Zugriff komplett blockiert. Das Unternehmen behauptete zunächst, das Problem bereits in der Vorwoche gelöst zu haben – während Azdoufal zeitgleich noch den Zugriff auf Tausende Geräte demonstrieren konnte.
In einer aktualisierten Stellungnahme räumte DJI ein "Backend-Berechtigungsvalidierungsproblem" bei der MQTT-Kommunikation ein. Das Unternehmen erklärte, die Schwachstelle intern Ende Januar entdeckt zu haben. Ein erster Patch wurde am 8. Februar ausgerollt, ein zweiter am 10. Februar. DJI betonte, dass die Kommunikation zwischen Gerät und Server verschlüsselt gewesen sei.
Azdoufal und Sicherheitsexperte Kevin Finisterre weisen in The Verge jedoch darauf hin, dass eine Verschlüsselung der Datenübertragung nicht ausreiche. Problematisch sei der fehlende Zugriffsschutz auf dem Server selbst. Denn jeder authentifizierte Client konnte alle Nachrichten aller Geräte im Klartext lesen.
Saugroboter waren schon früher betroffen
Der Fall reiht sich in eine Serie von Sicherheitsproblemen bei smarten Saugrobotern ein. 2024 übernahmen Hacker Ecovacs-Roboter , um Haustiere zu jagen und rassistische Äußerungen loszulassen. Und südkoreanische Behörden berichteten 2025 von Schwachstellen bei Dreame X50 Ultra(öffnet im neuen Fenster) sowie weiteren Ecovacs- und Narwal-Modellen, die unbefugten Zugriff auf Kamerafeeds ermöglichten.
- Anzeige Hier geht es zur DJI Mini 4 Pro bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.