Bundestag: Spahn als Fraktionschef der Union wiedergewählt Live-Bilder und private Daten: Tüftler erhält Zugriff auf 7000 fremde Saugroboter Moderne Saugroboter erfassen weit mehr als Staub und Schmutz. Sie erstellen Karten von Räumen, liefern Live-Kamerabilder und verarbeiten sensible Daten. Ein Vorfall zeigt nun, wie leicht solche Informationen Fremden zugänglich sein können – selbst ohne gezielten Angriff. Sammy Azdoufal aus Frankreich wollte seinen Saugroboter per Gamepad steuern. Der KI-Experte entwickelte dafür eine eigene App. Statt nur auf sein Gerät zuzugreifen, erhielt er plötzlich Verbindung zu tausenden weiteren Robotern derselben Serie weltweit. Zugriff auf tausende Geräte möglich Nach dem Start der App konnte der Entwickler auf rund 7000 Saugroboter zugreifen. Darunter befanden sich Live-Kamerabilder, Raumpläne und weitere private Daten der Nutzer. Die Informationen lagen unverschlüsselt auf Servern. Der Zugriff auf fremde Geräte war nicht geplant. „Kein illegaler Hack“ sei beabsichtigt gewesen, erklärte der Entwickler. Dennoch konnte er fremde Geräte steuern und Daten einsehen, die eigentlich geschützt sein sollten. So reagiert der Hersteller auf den Hinweis Nach der Entdeckung informierte Sammy Azdoufal den Hersteller DJI per E-Mail über die Schwachstelle und den möglichen Datenzugriff. DJI antwortete darauf und erklärte, die Sicherheitslücke sei intern bereits bekannt gewesen. Kurz nach der Meldung durch Azdoufal wurde der Zugang geschlossen. Das Unternehmen betonte zudem, ein Zugriff auf Live-Videos sei nur „theoretisch“ möglich gewesen. Der Entwickler konnte jedoch nachweisen, dass ein tatsächlicher Zugriff auf Live-Daten bestand. Trotz der zwischenzeitlichen Anpassungen zeigte er außerdem, dass bestimmte Funktionen weiterhin unzureichend geschützt sind. Beides steht im Widerspruch zu der Aussage des Herstellers. Nach Angaben von DJI ist die Lücke behoben und der Zugriff auf fremde Geräte inzwischen unterbunden. Dokumentationen von Azdoufal zeigen jedoch, dass etwa Live-Bilder des eigenen Geräts weiterhin ohne Verschlüsselung abrufbar sind, obwohl hierfür eigentlich eine PIN-Abfrage vorgesehen ist. Offenbar wurde also nur der Zugriff auf fremde Geräte behoben, nicht aber alle Sicherheitsprobleme. App weiterhin verfügbar Die entwickelte App funktioniert jedoch weiterhin für den ursprünglichen Zweck. Damit lässt sich der eigene Saugroboter per Gamepad steuern. Den Programmcode und eine Anleitung hat der Entwickler öffentlich auf einer Plattform bereitgestellt.