Bambu Connect: Sicherheitsupdate sorgt für Shitstorm & kommt anders als geplant: Das solltet ihr wissen

9 vor 19 Stunden von Thommy

Zwischen Freiheit und Sicherheit liegt bekanntlich ein schmaler Grat. Und den scheint Bambu Lab trotz allgemeiner Entrüstung in Foren und Social-Media-Beiträgen zugunsten von Sicherheit nun verlassen zu haben: Der Stein des Anstoßes: Ein neues heiß diskutiertes Sicherheitsupdate für Bambu Lab Drucker, das demnächst kommt – oder doch nicht?

Bambu Lab Sicherheitsupdate

Bambu Lab Sicherheitsupdates: grundsätzlich natürlich notwendig

Bambu Lab setzt für seine 3D-Drucker auf regelmäßige Sicherheitsupdates. Genau so, wie es eigentlich jedes Unternehmen mit Anspruch auf dauerhafte sichere Funktion und Handhabung eigener Produkte tun sollte. Nun gibt es aber einige Spinner, die dem Hersteller und uns Anwendern mit ihren unbefugten Zugriffen und DDOS-Angriffen auf die Bambu Lab Cloud-Dienste einen enormen abnormalen Datenverkehr bescheren und das Leben schwer machen. Bambu Lab spricht hier in der letzten Zeit von bis zu 30 Millionen unautorisierter Anfragen pro Tag. Sensible Operationen wie das Heiz-Management von Bett und Düse können damit z.B. Ziel von Hackern sein, was auch in der Vergangenheit schon für Ärger bei anderen Druckerherstellern gesorgt hat.

Bambu Lab Updates

Bambu Lab Sicherheitsupdate = neues Autorisierungskontrollsystem

Deshalb hatte Bambu Lab am 16.01.2024 in einem Post angekündigt, ein neues Sicherheitsupdate in Form eines neuen Tools herauszubringen, dass solche unbefugten Anfragen unterbindet: Bambu Connect – eine Software, die als Update zuerst für die X-Serie ausgerollt werden soll, sich aber noch in der Betaphase befindet. Nach Update der Firmware (01.08.03.00 und höher), des Bambu Studios (1.10.02.64 oder höher) und der Bambu Handy Version (2.17.0. oder höher) soll somit ein neues Autorisierungskontrollsystem eingeführt werden. Damit braucht es sozusagen eine offizielle Genehmigung über Bambu Connect um „kritische Operationen“ auszuführen.

Baambu Lab Post 16.Jan

Was sind nun aber „kritische Operationen“? Laut Bambu Lab sind das Maßnahmen wie das Binden und Entbinden des Druckers, der Remote-Videozugriff, Firmware-Updates, Online-Druckauftragsübermittlung via LAN oder Cloud und die bereits erwähnte Steuerung wichtiger Druckerparameter wie Bewegungssystem, Heizelementen oder AMS-Einstellungen. Ausgenommen bleiben Statusinformationen vom Drucker (z.B. über MQTT für Home Assistant), der Druck über die SD-Karte und alle weiteren oben nicht genannten Operationen.

Rückschlag für Orca-Slicer und andere Drittanbieter?

Für Drittanbieter-Software wie Home Assistant hätte das bedeutet: Vorerst keine Online-Druckauftragsübermittlung mehr und kein Zugriff auf den Videostream. Hauptleidtragender wäre hier aber der Open-Source Slicer „Orca Slicer“ gewesen. Der Grund: Bambu Lab ersetzt das für die Netzwerk-Druckauftragsübermittlung notwendige Bambu Netzwerk-Plugin durch die eben skizzierte Bambu Connect Client Software. Zwar kündigte Bambu Lab ohne einen zeitlichen Rahmen zu nennen an, mit Drittanbietern zusammenzuarbeiten um damit in Zukunft erneut eine volle Kompatibilität zum Orca Slicer zu gewährleisten. Bis dahin aber – so der Hersteller – sollten Orca Slicer-Nutzern schlichtweg nicht updaten.

Qidi X Plus 4 Orca Slicer Print Job Wifi Support Fluidd
Bald im Orca-Slicer bei Bambu Druckern in dieser Form nicht mehr möglich: Druckauftragsübermittlung und Video-Stream (Beispielbild hier mit Qidi Plus4)

In den FAQs ging man auf die Frage ein, warum von der Umstellung auch der LAN-Modus – also die Nutzung der Drucker ausschließlich im eigenen Netzwerk ganz ohne Cloud – betroffen sei. Hier gab man offiziell an, dass ein unautorisierter Fremdzugriff von außen weiterhin möglich sei, wenn es sich um ein öffentliches Netzwerk handele oder andere Schadsoftware (Trojaner, Backdoof-Software, etc.) von vernetzten Geräten (Laptops, Smartphones, usw.) übertragen und für Schaden sorgen würden.

4 Tage später: Bambu Lab rudert teilweise zurück

Nun hat man allem Anschein nach aber nicht mit einem derart großen Aufschrei gerechnet: Seit der Ankündigung des Updates vom 16. Januar sind nur 4 Tage vergangen, bis am 20.01.2025 erneut ein offizielles Statement des Herstellers online ging: Hier bedankt man sich für das „wertvolle Feedback“ – auch von Unternehmerseite – und verurteilt Social-Media-Falschmeldungen. Zudem betont man, nicht Drittanbieter einschränken zu wollen, sondern diese (namentlich: Orca Slicer, Bigtreetech) mit ins Boot zu holen und gemeinsam fit für Bambu Connect zu machen. Der Aufbau dieser neuen Software wird dabei sehr detailliert erklärt. Auch die Integration der Neuerungen in Druckfarm-Management-Software sei bereits im Gange.

Baambu Lab Post 20.Jan

Bambu Connect: Das solltet ihr wissen

Zentral für Endverbraucher dürfte Bambu Labs „Klarstellung“ vom 20.01.2025 wohl in folgender Hinsicht sein: Es wird einen aktualisierten LAN-Modus geben, der Benutzerin weiterhin die volle Kontrolle und Flexibilität liefern soll. Bambu Lab schreibt hierzu:

  • Standardmodus (Standard):  Standardmäßig umfasst der LAN-Modus einen Autorisierungsprozess, der für robuste Sicherheit sorgt. Diese Option ist ideal für die Mehrheit der Benutzer, die Sicherheit und Benutzerfreundlichkeit priorisieren. Trotz gegenteiliger Behauptungen erfordert der LAN-Modus über Bambu Connect weder Internetzugang noch ein Benutzerkonto. Dies hat sich nicht geändert und wird sich auch nicht ändern.
  • Entwicklermodus (optional):  Für fortgeschrittene Benutzer von X1, P1, A1 und A1 Mini, die die volle Kontrolle über ihre Netzwerksicherheit bevorzugen, steht die Option zur Verfügung, den MQTT-Kanal, den Live-Stream und FTP offen zu lassen. Diese Funktion muss auf dem Drucker manuell aktiviert werden, und Benutzer, die diese Option auswählen, übernehmen die volle Verantwortung für die Sicherung ihrer lokalen Netzwerkumgebung. Bitte beachten Sie, dass Bambu Lab für diesen Modus keinen Kundensupport bieten kann, da die Kommunikationsprotokolle nicht offiziell unterstützt werden.

Einerseits heißt das an die Adresse aller Home Assistant Nutzer: Volle Kontrolle gibt es weiterhin, aber inoffiziell und ohne Support. Andererseits beweist ein in der aktuellen Mitteilung vom 20. Januar gezeigtes Demo etwa, dass sich Orca-Slicer Nutzer freuen dürfen; denn die Bambu Connect-Einbindung in den Orca Slicer scheint hier schon erfolgt und wird derzeit getestet. Orca-Slicer Nutzer dürften also nicht all zulange warten müssen, bis sie wieder Druckaufträge online übermitteln können. Ob im Orca-Slicer weiterhin auch eine Videoübertragung erfolgt, ist fraglich.

Bambu Lab X1 Aufmacher 734x466 1
Bekommt das umstrittene Update zuerst: Bambu Lab X1-Serie (hier: X1C)

Warum geht Bambu Lab diesen Schritt – und rudert dann wieder zurück?

Hohe unautorisierte Anfragen und entsprechende Systemüberlastungen gibt es nicht seit gestern. Natürlich geht es einem Unternehmen  wie Bambu Lab, das ohnehin eher auf  „Closed Source“ setzt, also darum, hier eine tragfähige Lösung zu finden um hohe Latenzzeiten und Störungen in den Systemen zu minimieren. Und diese Lösung lautet im Zweifelsfall: Abschottung statt Freiheit. Warum?

Stellen wir Bambu Labs Bemühen doch einmal in einen makroökonomischen Kontext. Das Signal: „Unsere Drucker bieten größtmögliche Sicherheit und verlässliche Performance“ dürfte insbesondere Bambu Labs nächstes angepeiltes Ziel interessieren: Unternehmen. Hier verzeichnet man großes Wachstum, das nicht zuletzt den 3D-Druck-Dinosaurier im B2B-Bereich, Stratasys, zu einer großen Klage „inspiriert“ hat. Es dürfte also darum gehen, bei Unternehmen zu punkten – auch wenn das zu Lasten des Endverbrauches geht, wenn letzterer im Einzelfall nicht gerade ein sehr hohes individuelles Sicherheitsbedürfnis hat.

Heißt das jetzt also „BambuLabGoesEvil“, wie ein vielgenutzter Hashtag dieser Tage lautet? Nein, so einfach ist das nicht. Immerhin verdeutlicht das Zurückrudern des Herstellers eben auch, dass man auf die Community hört – zumindest teilweise. Die nunmehr gefundene Kompromisslösung im Streit um das neue Sicherheitskonzept sorgt für ein kleines Licht am Ende des Shitstorm-Tunnels – insbesondere für Orca-Slicer-Nutzer, die mit einer baldigen Implementierung von Bambu Connect rechnen können – wenn auch leider ohne Kamera-Support.

46f95c098446440cb171ff513c7d1dcf Hier geht's zum Gadget

Wenn du über einen Link auf dieser Seite ein Produkt kaufst, erhalten wir oftmals eine kleine Provision als Vergütung. Für dich entstehen dabei keinerlei Mehrkosten und dir bleibt frei wo du bestellst. Diese Provisionen haben in keinem Fall Auswirkung auf unsere Beiträge. Zu den Partnerprogrammen und Partnerschaften gehört unter anderem eBay und das Amazon PartnerNet. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.

Profilbild von Thommy

Thommy

Wenn ich nicht gerade mit Familie und Freunden unterwegs bin, findet man mich im Bastelkeller. Dort tüftele ich zwischen Multiplex Easystar-Klonen, Impeller-Jets, RC-Crawlern und insbesondere meinem geliebten Anycubic Mega S, dem möglichst bald noch weitere 3D-Drucker folgen sollen.

Sortierung: Neueste | Älteste

Kommentare (9)

  • Profilbild von chriss_goe
    # 20.01.25 um 17:40

    chriss_goe

    Vielen Dank für die Berichterstattung, viele der Medien und YouTuber haben ja direkt den Vogel abgeschossen nach dem Blog Post vom 16.01

    Ich denke die werden dass schon in den Griff kriegen und mit den Developern von Orca Slicer etc gut zusammenarbeiten. Den Aufschrei im Internet in diesen 4 Tagen fand ich mehr als Bedenklich, man schaue sich mal die Trusted Pilots Rezensionen alleine deswegen an. Es gibt noch nichts handfestes und trotzdem wird ein Unternehmen schlecht bewertet? Das zählt unter Rufmord und finde ich unter aller Sau.

    Zitieren Antworten
    • Profilbild von Kakue
      # 20.01.25 um 20:54

      Kakue

      Ja, Du hast Recht, hier wird gerade viel unrechtmäßig und auch unberechtigter weise kritisiert. Diese unberechtigte Kritik darf aber nicht den Blick auf die durchaus berechtigte Kritik versperren.
      Und leider auch wahr: am Vorgehen von Bambulab ist viel Schlechtes!

      Zitieren Antworten
  • Profilbild von Max
    # 20.01.25 um 18:09

    Max

    Egal wie gut oder wie günstig die Drucker wären, wenn die das realisieren war es das mit Bambu Lab.
    Würde mir nie wieder etwas von denen holen.
    Man muß die Hersteller auch erziehen, sonst drehen die komplett durch.

    Zitieren Antworten
    • Profilbild von Meine Meinung
      # 20.01.25 um 18:52

      Meine Meinung

      ähm, aber den Artikel hast du schon gelesen (und verstanden)?

      Zitieren Antworten
  • Profilbild von Max Mustermann
    # 20.01.25 um 20:05

    Max Mustermann

    Es geht halt nicht um die Sicherheit, Bambu Connect bringt in der Art NULL weitere Sicherheit.
    Wurde bereits alles auseinandergenommen, siehe z.B. Videos von Louis Rossmann
    Schwach, dass hier keine Recherche betrieben wurde.

    Es gibt Möglichkeiten, die Sicherheit wirklich gut zu implementieren ohne Nutzer zu benachteiligen, aber das ist halt nicht in Bambu Labs Interesse.

    Zitieren Antworten
    • Profilbild von Dörrobstautomat
      # 20.01.25 um 21:44

      Dörrobstautomat

      Man Max, das ist sooo ein Bullshit. Hör mal auf mit deiner ständigen unfairen Kritik. Louis Rossmann zerreißt Bambu auf dem Stand vom 16. Januar. Arbeitest du bei Bambu? Kennst die Unterschiede zwischen Bambu Connect und dem bisherigen Network-Plugin? Geh woanders nerven.

      Zitieren Antworten
      • Profilbild von Max Mustermann
        # 20.01.25 um 22:34

        Max Mustermann

        Ja, ich habe mir als einer der ersten die Implementierung in Bambu Connect angeschaut, war nicht sonderlich gut geschützt. Der private Schlüssel von Bambu kann da ausgelesen werden und wurde schon veröffentlicht. Wie gesagt, Sicherheit = Null. Einen PRIVATEN Schlüssel in einer ÖFFENTLICHEN Anwendung zu verteilen ist keine Sicherheit.

        In Louis Wiki habe ich auch einen Artikel darüber geschrieben und sein letztes Video bespricht auch diesen.
        Der andere Max hier bin übrigens nicht ich.

        Ich entwickle beruflich embedded Linux Systeme und kenne mich mit Sicherheit aus, das ist mein Job. Was ist deine Qualifikation?

        Zitieren Antworten
        • Profilbild von Thommy
          # 21.01.25 um 08:21

          Thommy CG-Team

          Hey ihr Lieben, besonders @Max Mustermann

          ich schreite hier mal ein, bevor das ausartet. Erst einmal danke euch für das Feedback, von dem mich natürlich das positive besonders freut, weil ich zu behaupten wage, dass das zumindest ein recht ausgewogener und im Vergleich zu anderen Portalen sehr ausführlicher Beitrag ist.
          Erfasst er das Geschehen korrekt? Das weiß ich nicht. Jedenfalls ist das zumindest meine Sicht als Außenstehender, der eben kein Informatiker ist. Insofern freue mich über deinen Input @Max Mustermann und hätte mir gewünscht, dass du deinen zweiten konstruktiven Experten-Beitrag direkt rausgehauen hättest. Das hilft hier allen total weiter, das weiter einschätzen zu können. Überhaupt wäre es super, wenn wir dich als Experten zu der Thematik an Bord holen könnten. Das wäre mal ein toller Mehrwert für die Community. Außerdem könnten wir den direkten Kontakt zu Bambu Lab herstellen, falls gewünscht. Ich glaube, dass das wieder ein Fall ist, der genau wie damals bei Joshua Wises alternativer Firmware viel Diskussion MIT und nicht ÜBER Bambu Lab erfordert. Was meinst du?

          Besten Gruß in die Runde – was druckt ihr heute Feines? =)

          Thommy

  • Profilbild von Max Mustermann
    # 20.01.25 um 20:07

    Max Mustermann

    Bambu Connect’s Authentication X.509 Certificate And Private Key Extracted:
    https://hackaday.com/2025/01/19/bambu-connects-authentication-x-509-certificate-and-private-key-extracted/

    Reverse Engineering Bambu Connect:
    https://wiki.rossmanngroup.com/wiki/Reverse_Engineering_Bambu_Connect

    NULL Sicherheit, nur Gängelung.

    Zitieren Antworten

Kommentar schreiben

Name
E-Mail
Diese E-Mail-Adresse wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.