DJI hat einer Person 30 000 Dollar gezahlt, die versehentlich 7 000 Romo‑Roboterstaubsauger gehackt hat.

Kurze Chronik: DJI Romo-Schwachstellen und Herstellerreaktion

Phase | Was geschah | Reaktion des Unternehmens
Februar – Entdeckung von Problemen | Besitzer der DJI Romo-Staubsaugerroboter fanden mehrere kritische Schwachstellen. Ein Nutzer, der versuchte, das Gerät über einen Sony PlayStation-Controller zu steuern, bemerkte ein Netzwerk aus 7000 ferngesteuerten Robotern, die Zugriff auf Videostreams fremder Häuser ermöglichten. | DJI kündigte an, eine Belohnung für die Entdeckung von Schwachstellen auszuzahlen.
Öffentliche Anerkennung | In einer Mitteilung bei The Verge heißt es, dass ein Nutzer namens *Sammy Azdoufal* 30 000 USD erhalten hat. Das Unternehmen gab jedoch keine Details zur konkreten Fehlerquelle preis und erwähnte den Namen nicht in offiziellen Dokumenten. DJI betonte, dass die Schwachstelle das Anschauen von Videostreams ohne PIN-Code ermöglichte; die Korrektur wurde Ende Februar implementiert.
Gefundene schwerwiegendere Problematik | Eine der entdeckten Fehler war potenziell gefährlicher, jedoch wurden Details in den Medien nicht veröffentlicht. Im offiziellen Blog kündigte das Unternehmen Pläne zur „Modernisierung des gesamten Systems“ an und startete eine Serie von Updates, die innerhalb eines Monats vollständig ausgerollt werden sollen.
Dank an Forscher | DJI stellte fest, dass die Probleme eigenständig entdeckt wurden, zeigte aber Dankbarkeit gegenüber zwei unabhängigen Sicherheitsexperten für ihren Beitrag. Das Unternehmen betonte sein Engagement für die Zusammenarbeit mit der Forschungsgemeinschaft und versprach in Kürze neue Kooperationswege vorzustellen.
Zertifikate und Fragen zur Zuverlässigkeit | DJI erinnerte daran, dass Romo Zertifikate von ETSI, EU und UL erhalten hat. Gleichzeitig konnte eine Person das Sicherheitssystem über den Dienst Claude Code umgehen, was Zweifel an der tatsächlichen Wirksamkeit dieser Zertifikate aufkommen ließ. In einer Stellungnahme betonte das Unternehmen seine „Verpflichtung, die Zusammenarbeit mit der Sicherheitsforschungsgemeinschaft zu vertiefen“.

Ergebnisse:
DJI zahlte 30 000 USD an den Nutzer, der eine Schwachstelle im Videostream von Romo entdeckte. Gleichzeitig begann das Unternehmen umfangreiche Arbeiten zur Aktualisierung und Stärkung des Schutzes seiner Staubsaugerroboter und erkannte gleichzeitig die Notwendigkeit einer engeren Zusammenarbeit mit unabhängigen Sicherheitsexperten an. Trotz vorhandener Zertifikate von ETSI, EU und UL wirft der Durchbruch in ein Netzwerk von 7 000 Geräten Fragen zur tatsächlichen Zuverlässigkeit der implementierten Sicherheitsmaßnahmen auf.