Sammy Azdoufal hat buchstäblich viel gesehen. Eigentlich wollte der KI-Chef einer französischen Firma nur die Steuerung seines Staubsaugerroboters praktischer gestalten: Durch eine von einer KI entworfene App wollte er es möglich machen, seinen „DJI Romo Robovac“ mit einem Spielkonsolen-Controller durch die Wohnung zu schicken. Das habe für ihn kurz gesagt einfach sehr spaßig geklungen, sagte er dem Technologiemagazin „The Verge“, das zuerst über den Fall berichtet hatte.
Als sich Azdoufals App aber mit den Servern des Staubsaugerroboterherstellers DJI verband, ging damit ein eigentümliches Maß an Kontrolle einher. Schnell habe er herausgefunden, „dass mein Gerät nur eines in einem ganzen Ozean von Geräten war“, sagte Azdoufal. Laut eigener Aussage konnte er Daten von mehr als 7000 Robotern auf der ganzen Welt abrufen: Grundrisse von Wohnungen etwaiger Gerätebesitzer, gegenwärtige Kamerabilder, Mikrofonaufnahmen. Das ist auch auf mehreren Aufnahmen zu sehen, die „The Verge“ veröffentlichte.
Hersteller räumt „theoretische Möglichkeit“ des Zugriffs ein
Über die sogenannten IP-Adressen, eine einzigartige Chiffre, die digitale Gerätschaften kennzeichnet, habe er zudem im Drei-Sekunden-Takt die exakten Standorte ebendieser Staubsauger bestimmen können; das gibt in Kombination mit den Nutzerdaten potentiell die Anschriften der Besitzer preis. Wohlgemerkt: Er, Azdoufal, habe dabei „keine Regeln verletzt“ und im herkömmlichen Sinne „nichts geknackt“, „nichts dergleichen“. Dennoch habe er auf seinem Computer in Klartext „alles“ sehen können.
Mehr als nur eine kleine Kuriosität stellt die Sicherheitslücke angesichts der Tatsache dar, dass der Hersteller DJI auch Drohnen herstellt. Mittlerweile scheint das von Azdoufal gemeldete Sicherheitsleck zwar behoben. Die Sprecherin des Unternehmens, Daisy Kong, gab gegenüber „The Verge“ zu, „ein Problem bei der Backend-Berechtigungsüberprüfung“ hätte „Hackern“ eine „theoretische Möglichkeit“ zum Zugriff ermöglicht. Die „Untersuchungen bestätigten“ aber die „extreme Seltenheit“ derartiger Vorfälle wie von Azdoufal. Fall geschlossen.
Laut Azdoufal sind aber noch nicht alle technischen Einfallmöglichkeiten vollends gesichert. Da er aber nichts Böses im Sinn habe und es ihm von vornherein nur um die Steuerung seines Roboters gegangen sei, legte er keine weiteren Details offen. Dem Bericht zufolge klappt die Steuerung seines Staubsaugers mit dem Spielekonsolen-Controller indes gut.