Letztes Jahr brachte DJI seinen eigenen Staubsaugerroboter, den Romo, auf den Markt, der sofort auf die High-End-Kategorie abzielte. Er bietet exzellente Fähigkeiten in einem spektakulären Paket, mit einem ziemlich ernsthaften Hardware- und Software-Backbone. Dies inspirierte einen Nutzer dazu, das System des Geräts zu hacken und noch mehr aus ihm herauszuholen.
Sammy Azdoufal begann, tiefer in das System und die Funktionen von DJI einzudringen, um den DualSense Wireless Controller, den er zusammen mit seiner PlayStation 5-Konsole verwendet, zur Steuerung des Geräts nutzen zu können.
Auf den ersten Blick scheint dies eine extreme Idee zu sein, aber es gibt tatsächlich Reinigungsroboter, die mit einem Controller mit dieser Funktion ausgestattet sind. Auch wenn es etwas seltsam klingt, seinen Staubsaugerroboter wie ein ferngesteuertes Auto zu bedienen, ist die Idee nicht wirklich einzigartig, nur die Umsetzung wäre ungewöhnlich gewesen. Aus Spaß hat Azdoufal versucht, den DJI Romo Staubsauger mit dem PS5 DualSense Controller zu koordinieren.
Aber nach einer Weile wurde aus dem Spaß ein schief gelaufener Hackerangriff - wenn man das so nennen kann. Im Laufe seines Spaßes gelang es unserem Mann, die Kontrolle über etwa 10.000 Staubsaugerroboter zu erlangen. Allem Anschein nach verschaffte er sich Zugang zu jedem aktiv angeschlossenen DJI Romo-Modell auf der Welt. Alles, was er tun wollte, war, die Reinigungsmaschine mit dem Controller auf seiner Konsole zu steuern.
Sammy Azdoufal versuchte, die Fernsteuerung zu lösen, indem er sich mit seiner selbst erstellten Anwendung über den Server von DJI mit seinem eigenen Gerät verband. Doch plötzlich hatte er über den Server, der das Romo-System bediente, Zugriff auf alle Romo-Modelle der Welt.
Er verschaffte sich durch einen Entwicklungsstreich Zugang zu Tausenden von Staubsaugern und erhielt Daten, die den Fall äußerst erschreckend machen. Im Grunde genommen konnte Azdoufal alles sehen, was mit den Maschinen zu tun haben könnte. Neben den Bedienelementen hatte er auch Zugang zu den Mikrofonen, Lautsprechern und Videoaufzeichnungen der Geräte. Er sollte mit einem Freund testen, ob er tatsächlich auf solch sensible Daten zugreifen kann, und er nutzte diese Gelegenheit nicht.
"Mir wurde klar, dass mein Gerät nur eines in einem Meer von Geräten war", sagte Azdoufal über den Fall. Der Fall wurde von The Verge berichtet, die dem Journalisten live zeigten, wie dieser Zugriff aussieht.
Azdoufal konnte auch auf die von den Staubsaugerrobotern erfassten Karten der Wohnung zugreifen und in Echtzeit sehen, was die Geräte taten, welchen Raum sie reinigten, wie hoch der Füllstand ihres Staubsaugerbehälters war und so weiter. Der Hacker, der zum Entwickler wurde, konnte auch die IP-Adresse aller Geräte einsehen und in Verbindung damit den geografischen Standort der Produkte in groben Zügen bestimmen. Allerdings nicht auf der Ebene der GPS-Koordinaten, sondern nur regional: Es wurden Signale von Tausenden von Geräten in 24 Ländern empfangen.
Die Zeitung setzte sich mit DJI in Verbindung, um zu bestätigen, dass es tatsächlich eine Schwachstelle in ihrem System gab, die unbefugten Zugriff ermöglicht haben könnte. Daisy Kong, eine Sprecherin des Unternehmens, sagte, dass es ein Problem mit der Hintergrundlizenzkontrolle" gegeben habe. Dadurch konnte praktisch jeder die Kontrolle über alle Staubsauger erlangen. Das Unternehmen sollte den Fehler eigentlich schon behoben haben, wurde aber erst aktiv, nachdem eine Fachzeitschrift darauf hingewiesen hatte.
Im Laufe der Jahre gab es viele Fälle, in denen Smart-Home-Geräte leicht von Unbefugten gehackt werden konnten, was besonders für Sicherheitskameras beunruhigend ist. Dennoch scheint es, dass die Unternehmen die Sicherheit immer noch nicht ernst genug nehmen. Im Fall von DJI ist nicht bekannt, ob es in den letzten Monaten zu einem Missbrauch gekommen ist, aber es ist durchaus möglich, dass dies der Fall war. Das Unternehmen hat keine Informationen dieser Art zur Verfügung gestellt und ist möglicherweise nicht in der Lage, sie zu verifizieren.
