DJI gibt an, ein Sicherheitsproblem bei seinem Romo-Staubsaugroboter behoben zu haben, nachdem ein Forscher von einem ungewöhnlich breiten Zugriff auf Geräte berichtet hatte, die mit den Cloud-Diensten von DJI kommunizieren. Der Forscher Sammy Azdoufal sagte, er habe das Problem entdeckt, als er eine Fernbedienungs-App für seinen eigenen Romo entwickelte und dann sah, wie Tausende von Geräten reagierten, als seine App mit der DJI-Infrastruktur verbunden wurde.

Laut DJI war die Hauptursache ein Problem bei der Validierung der Backend-Berechtigungen im Zusammenhang mit der MQTT-basierten Kommunikation zwischen Geräten und dem Server. In einer Erklärung teilte das Unternehmen mit, dass die Behebung in zwei Updates implementiert wurde, wobei ein erster Fix am 8. Februar eingeführt wurde und ein Folgeupdate am 10. Februar abgeschlossen wurde. DJI sagte, dass der Fix automatisch bereitgestellt wurde und keine Benutzeraktion erforderte.

Azdoufal behauptete, er könne Gerätetelemetriedaten wie Kennungen und Statusinformationen beobachten und dass Zugriffspfade theoretisch unter bestimmten Umständen missbraucht werden könnten, um Live-Video-Feeds zu erreichen. DJI sagte, seine Untersuchung habe ergeben, dass die vermutete Aktivität weitgehend mit unabhängigen Forschern zusammenhänge, die ihre eigenen Geräte getestet hätten, fügte jedoch hinzu, dass es keine Hinweise auf umfassendere Auswirkungen gebe.

You Might Also Like
Die Zahl der zahlenden YouTube-Nutzer stieg von 300 Millionen auf 325 Millionen
Die Zahl der zahlenden YouTube-Nutzer stieg von 300 Millionen auf 325 Millionen
Shield Experience 9.2.4 behebt lästige Abstürze im CEC-Schlafmodus
Shield Experience 9.2.4 behebt lästige Abstürze im CEC-Schlafmodus
Google startet eine Beta-Version des KI-Gesundheitstrainers für Fitbit Premium auf Android
Google startet eine Beta-Version des KI-Gesundheitstrainers für Fitbit Premium auf Android

Der Vorfall verdeutlicht die Datenschutzrisiken vernetzter Heimgeräte, zu denen Kameras und Mikrofone gehören. Selbst wenn Daten während der Übertragung verschlüsselt werden, bestimmen Zugriffskontrolle und serverseitige Berechtigungen, was authentifizierte Clients anfordern und anzeigen können. Die öffentlichen Sicherheitsressourcen von DJI, einschließlich der Kanäle zur Meldung von Schwachstellen, sind über das DJI Security Response Center verfügbar.

DJI wurde in mehreren Märkten wegen sicherheitsrelevanter Bedenken unter die Lupe genommen, und der Romo-Vorfall könnte diese Debatte noch verstärken. Weitere Informationen zu DJI finden Sie in unserem vorherigen Bericht über durchgesickerte Produktbilder für die Actionkamera-Reihe des Unternehmens: DJI Osmo Nano-Bilder sind durchgesickert, zeigen modulares Design.