Ein Softwareentwickler entdeckte eine massive Sicherheitslücke bei DJI. Sie ermöglichte den Zugriff auf Kameras und Grundrisse Tausender Roboterstaubsauger weltweit. Der Vorfall zeigt die Datenschutzrisiken im Smart Home.
Der Zufallsfund gelang, als Sammy Azdoufal seinen DJI Romo mit einem PlayStation-Controller steuern wollte. Statt nur sein eigenes Gerät zu kontrollieren, erhielt er Zugang zu rund 7.000 Saugrobotern in über 20 Ländern. Er konnte Live-Kamerabilder sehen und detaillierte Wohnungsgrundrisse einsehen.
Der Zugriff auf vernetzte Haushaltsgeräte verdeutlicht, wie verwundbar private Daten im digitalen Alltag geworden sind. Dieser kostenlose Ratgeber zeigt Ihnen, mit welchen 5 einfachen Maßnahmen Sie Ihre Mobilgeräte und Apps effektiv vor fremden Zugriffen schützen. 5 Sicherheitsmaßnahmen für Android-Nutzer jetzt kostenlos entdecken
Ein globales Fenster in fremde Wohnzimmer
Für den Zugriff war kein Hacking nötig. Ein grundlegender Fehler in der Server-Architektur von DJI war schuld. Das System prüfte die Berechtigungen des Nutzers nicht korrekt. Ein einmal angemeldeter Nutzer konnte so die Daten aller anderen Geräte mitlesen.
Azdoufal sah eine Weltkarte mit den Standorten aktiver Roboter. Die Geräte sendeten sekündlich Daten wie Seriennummer und Akkustand. Besonders brisant: der Zugriff auf die gespeicherten Karten der Wohnungen. Sie zeigten exakt die Größe und Aufteilung der Räume. Teilweise ließen sich sogar die Live-Kameras aktivieren, ohne eine Sicherheits-PIN.
DJI schließt Lücke nach zweimaligem Patch
DJI reagierte auf den Hinweis und schränkte den Fernzugriff ein. Das Unternehmen sprach von einem Problem bei der Backend-Berechtigungsprüfung. Die Datenübertragung war zwar verschlüsselt, doch der Server selbst bot keinen Schutz. Ein authentifizierter Nutzer konnte alle Nachrichten im Klartext lesen.
Ein erster Patch am 8. Februar reichte nicht aus. Erst eine zweite Aktualisierung am 10. Februar schloss die Lücke auf allen Servern. DJI betont, es gebe keine Hinweise auf einen Missbrauch durch Dritte. Nutzer mussten nichts tun, die Korrekturen erfolgten serverseitig.
Smart Home: Bequemlichkeit schafft Angriffsflächen
Der DJI-Vorfall ist kein Einzelfall. Die IoT-Branche kämpft ständig mit Sicherheitslücken. Bereits 2024 übernahmen Hacker Kontrolle über Ecovacs-Roboter. 2025 waren Geräte von Dreame und Narwal von ähnlichen Schwachstellen betroffen, die Kamera-Zugriffe erlaubten.
Experten sehen ein Grundproblem: Hersteller priorisieren oft Funktionalität und schnelle Markteinführung. Die Sicherheit kommt zu kurz. Dabei sind die Geräte vollwertige Computer mit Kameras, Mikrofonen und Sensoren. Sie tauschen permanent Daten mit Cloud-Servern aus.
Während Hersteller oft die Geschwindigkeit priorisieren, können Nutzer selbst aktiv werden, um ihre Privatsphäre bei Banking und Messenger-Diensten zu erhöhen. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie häufig unterschätzte Sicherheitslücken auf Ihrem Smartphone schließen. Gratis-Ratgeber: Android-Smartphone spürbar sicherer machen
So schützen Sie sich vor neugierigen Blicken
Was können Verbraucher tun? Sicherheitsexperten raten zu einem einfachen Schritt: Betreiben Sie IoT-Geräte in einem separaten Gast-WLAN. So wird verhindert, dass ein kompromittierter Saugroboter zum Einfallstor für das gesamte Heimnetzwerk wird.
Zudem sollten alle Standardpasswörter sofort geändert werden. Vor dem Kauf lohnt ein Blick auf die Datenschutzpraktiken des Herstellers. Wie transparent ist das Unternehmen bei Updates? Der DJI-Fall zeigt: Selbst bei etablierten Marken bleibt die Sicherheit im Smart Home eine Herausforderung.
