Een hobbyist die zijn eigen DJI Romo-robotstofzuiger wilde bedienen met een PlayStation-controller, kreeg onbedoeld toegang tot duizenden andere toestellen wereldwijd. Het incident legt een pijnlijke beveiligingsfout bloot bij DJI.
Volgens berichtgeving van The Verge kon de aangepaste app niet alleen zijn eigen robot aansturen, maar ook data ophalen van ongeveer 6.700 DJI Romo-stofzuigers verspreid over onder meer de VS, Europa en China. De ontdekking werd gedaan door AI-strateeg Sammy Adoufal. Hij gebruikte de AI-tool Claude Code om het communicatieprotocol van de DJI Romo met zijn servers te analyseren. Hij wilde simpelweg zijn eigen toestel bedienen met een PlayStation-controller.
Maar toen hij de private token van zijn eigen stofzuiger wist te bemachtigen, bleek dat die toegang niet beperkt bleef tot één apparaat. In plaats daarvan kreeg hij toegang tot live servers en data van duizenden andere robotstofzuigers. Adoufal benadrukte dat hij geen systemen had gehackt of beveiliging had omzeild. Hij gebruikte enkel de toegangsgegevens van zijn eigen toestel. “Ik heb geen regels overtreden, niets gekraakt of brute force gebruikt”, verklaarde hij.
Het lek was ernstig. De app kon nauwkeurige plattegronden ophalen die de robots hadden gegenereerd tijdens het schoonmaken. Ook live camerabeelden en microfoonfeeds waren toegankelijk. Bovendien was het mogelijk om de getroffen apparaten op afstand aan te sturen. Dat betekent in theorie dat een kwaadwillende partij niet alleen inzicht zou krijgen in de indeling van woningen, maar ook in real time zou kunnen meekijken of -luisteren.
Adoufal koos ervoor het probleem onmiddellijk bij DJI te melden. Het bedrijf bracht daarop updates uit die het lek moesten dichten, zonder dat gebruikers zelf actie hoefden te ondernemen.
Volgens de ontdekker ligt het fundamentele probleem niet zozeer bij de versleuteling tijdens de communicatie tussen robot en server, maar bij de opslag van gegevens op de server zelf. Die data zou in platte tekst zijn opgeslagen, waardoor iedereen met servertoegang de informatie eenvoudig kan lezen. Daarnaast zouden er nog twee openstaande beveiligingsproblemen zijn. Zo zou het mogelijk zijn om videobeelden te streamen zonder beveiligings-PIN. Een ander, ernstiger probleem werd om veiligheidsredenen niet publiek gemaakt.
Het incident staat niet op zichzelf. Slimme huishoudtoestellen verzamelen steeds meer data om efficiënter te werken, maar die informatie (denk aan woningplattegronden, gebruiksgewoonten en audiovisuele data) is bijzonder gevoelig. Veel consumenten kiezen voor slimme IoT-apparaten omwille van het gebruiksgemak. Tegelijkertijd toont dit voorval hoe kwetsbaar die ecosystemen kunnen zijn. Als één gebruiker via legitieme toegang per ongeluk duizenden apparaten kan benaderen, roept dat vragen op over wat een gerichte aanval zou kunnen aanrichten.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
