Als ein Heimwerker vor einigen Tagen versuchte, seinen Kehrroboter DJI Romo mit einem PS5-Gamecontroller zu steuern, löste er versehentlich eine schwere Sicherheitslücke aus. Infolgedessen waren rund 6.700 Roboter dieses Typs auf der ganzen Welt unbefugtem Zugriff ausgesetzt, was es ihnen ermöglichte, Kameraaufnahmen in Echtzeit anzusehen, 2D-Grundrisse von Häusern zu erhalten und sogar Gerätestandorte zu lokalisieren.
Nachdem der Vorfall von The Verge aufgedeckt wurde, antwortete DJI offiziell und erklärte, dass die Behebung der Sicherheitslücke abgeschlossen sei.
Die Sicherheitslücke wurde von Sammy Azdoufal entdeckt. Er teilte den Medien mit, dass seine ursprüngliche Absicht lediglich darin bestand, den PS5-Controller zur Steuerung des neu gekauften DJI Romo zu verwenden. Deshalb nutzte er die Software Claude Code, um das Kommunikationsprotokoll zwischen dem Roboter und dem DJI-Server zurückzuentwickeln, und erstellte eine selbstgemachte Fernbedienungsanwendung.
Überraschenderweise waren die Berechtigungen der App nach der Verbindung mit dem Server außer Kontrolle geraten. Er extrahierte lediglich den privaten Token seines eigenen Geräts und erhielt eine Antwort von etwa 7.000 Romo-Einheiten auf der ganzen Welt.
Ein Reporter von The Verge war live Zeuge der Schwachstellendemonstration. Innerhalb von 9 Minuten zeichnete der Computer von Azdufar 6.700 DJI-Geräte in 24 Ländern auf und sammelte mehr als 100.000 Gerätemeldungen, darunter Geräteseriennummern, Reinräume, gesehene Szenen, Fahrstrecke, Ladezeit und angetroffene Hindernisse usw.
Zwei Karten von Thomas' Wohnraum. Oben ist die nicht authentifizierte Karte, die vom DJI-Server abgerufen wurde. Unten ist die Karte, die der Hausbesitzer auf seinem Mobiltelefon sieht.
Mit nur der 14-stelligen Geräteseriennummer, die ich von meinem Kollegen Thomas Ricker erhalten habe, kann ich den Status des Roboters, der das Wohnzimmer reinigt, und die verbleibenden 80 % der Batterie genau überprüfen und außerdem den genauen Grundriss des Hauses meines Kollegen erhalten.
Darüber hinaus konnte er die Sicherheits-PIN seines eigenen Roboters umgehen, um Echtzeitaufnahmen anzusehen, und er gab sogar eine schreibgeschützte Version der Anwendung an Gonzague Dambricourt, CTO eines französischen IT-Beratungsunternehmens, weiter, der die Kameraaufnahmen seines Romo aus der Ferne ansehen konnte, ohne das Gerät zu koppeln.
Azdufar betonte, dass er nicht in den DJI-Server eingedrungen sei. „Ich habe keine Regeln verletzt, kein System geknackt oder brutal erzwungen.“ Es war nur so, dass der private Token, den er für sein eigenes Gerät extrahierte und der der Schlüssel zur Überprüfung seiner eigenen Gerätezugriffsberechtigungen sein sollte, vom DJI-Server fälschlicherweise als allgemeine Berechtigung interpretiert wurde, wodurch Daten auf Tausenden von Geräten auf der ganzen Welt verloren gingen.
Er gab außerdem bekannt, dass er jedes Mal, wenn er das Tool schließt, alle erfassten Daten löscht und die Lücke nicht dazu missbraucht, in die Privatsphäre anderer einzudringen.