Eine Sicherheitslücke im DJI Romo Saugroboter erlaubte Zugriff auf ca. 7000 Geräte weltweit – inklusive Live-Kameras und Wohnungsgrundrissen.
Gravierende Sicherheitslücke im Saugroboter DJI ROMO
Ein Entwickler aus Barcelona hat eine gravierende Sicherheitslücke im Saugroboter DJI Romo entdeckt, die den Zugriff auf tausende Geräte weltweit ermöglichte. Ziel war ursprünglich die Steuerung des eigenen Roboters über einen Playstation-Controller. Stattdessen konnte der Forscher rund 7000 weitere Geräte einsehen und kontrollieren.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Laut eigenen Angaben katalogisierte der Entwickler innerhalb von neun Minuten knapp 6700 DJI-Romo-Geräte in 24 Ländern. Die Roboter sendeten regelmäßig MQTT-Datenpakete mit Informationen zu Seriennummern, gereinigten Räumen und zurückgelegten Strecken. Über die Seriennummer war der aktuelle Status eines Roboters abrufbar, einschließlich vollständiger Grundrisse der Umgebung. Zudem konnten Kameras ohne zusätzliche Authentifizierung eingesehen werden.
Bild: DJI
Die Schwachstelle entstand laut Bericht, weil Server einen privaten Geräte-Token akzeptierten, jedoch nicht korrekt prüften, ob dieser auch nur für das jeweilige Gerät gültig war. Dadurch konnte ein Nutzer nicht nur auf den eigenen Roboter zugreifen, sondern auch auf fremde Geräte. In der Folge war es möglich, diese zu überwachen oder sogar zu steuern. Ein weiterer Tester erhielt zudem Zugriff auf die Kamera, obwohl noch keine Kopplung mit dem Gerät erfolgt war.
Preise aktualisiert 11.03.26
DJI reagierte auf die Berichte, schränkte zeitweise Fernsteuerung und Kamerazugriff ein und blockierte bis zum Morgen des Folgetages den Zugriff vollständig. In einer Stellungnahme sprach das Unternehmen von einem „Backend-Berechtigungsvalidierungsproblem“ in der MQTT-Kommunikation. DJI gab an, die Schwachstelle intern Ende Januar entdeckt und am 8. und 10. Februar Patches bereitgestellt zu haben. Die Kommunikation zwischen Gerät und Server sei verschlüsselt gewesen, was jedoch laut Experten nicht ausreiche, da authentifizierte Clients alle Nachrichten im Klartext hätten lesen können.
Der Vorfall reiht sich in eine Reihe von Sicherheitsproblemen bei smarten Saugrobotern ein. So wurden 2024 Ecovacs-Roboter von Angreifern übernommen, um Haustiere zu verfolgen und unerwünschte Sprachausgaben wiederzugeben. Südkoreanische Behörden berichteten 2025 über Schwachstellen bei weiteren Modellen, die unbefugten Zugriff auf Kamerafeeds ermöglichten.
Saugroboter Finder | Hier findest du den besten für dich!
Unser Saugroboter Finder ist so gestaltet, dass du nach deinen Bedürfnissen filtern kannst und dann das beste, für dich passende Gerät findest. In unserem Tool sind dabei sowohl die technischen Daten als auch all unsere selbst ermittelten Testergebnisse eingeflossen. Mit unserer Vergleichsfunktion kannst du dann zwei oder mehr Geräte miteinander vergleichen und siehst so direkt die Unterschiede. Dadurch ist sichergestellt, dass deine Wünsche direkt zu deinem nächsten Saugroboter führen. Eine Sortierung nach Preis/Leistung, ergänzende YouTube-Videos und ausführliche Testberichte unterstützen dich dabei rundum.
SmarthomeAssistent Community | Im Forum gibt's Hilfe & Austausch!
Du hast offene Fragen und findest dazu auf dem Blog keine Antwort? Du möchtest dich einfach mal mit anderen Leuten austauschen oder willst dein neuestes Projekt vorstellen? Dann schau doch mal in unserem kostenlosen Community-Forum vorbei! Dort hast du die Möglichkeit, Antworten auf deine Fragen zu bekommen oder kannst dich auch direkt als aktives Mitglied einbringen. Wir und alle anderen User freuen uns auf dich und heißen dich schon jetzt „Herzlich Willkommen"!
Hinterlasse uns einen Kommentar
Mit der Nutzung dieses Formulars, erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen kannst du der Datenschutzerklärung entnehmen.