DJI Romo: Modder gebruikt PS5-controller om robotstofzuiger aan te drijven, krijgt toegang tot 7.000 robotcamera's

De DJI Romo is de allereerste robotstofzuiger van de bekende dronemaker. Met een opvallend transparant ontwerp onderscheidt de robot zich van de concurrentie, maar bescherming tegen cyberaanvallen was blijkbaar geen prioriteit tijdens de ontwikkeling. Zoals The Verge meldt dat een klant per ongeluk ongeveer 7.000 DJI Romo's wereldwijd heeft gehackt.

Sammy Azdoufal wilde oorspronkelijk gewoon voor de lol zijn robotstofzuiger besturen met een PlayStation-controller. De aangepaste afstandsbedieningsapp moest de robot besturen via de servers van DJI. Maar in plaats van alleen zijn eigen DJI Romo te besturen, gaf de server de ontwikkelaar toegang tot alle bijna 7.000 DJI Romo's die op dat moment actief waren. Nog verontrustender was dat de ontwikkelaar niet alleen de robots kon besturen, maar ook toegang kreeg tot hun microfoons en luidsprekers, waardoor hij praktisch live toegang kreeg tot duizenden huizen.

Via het IP-adres kon de locatie van elke robot bij benadering worden bepaald en de robots konden zelfs kamerkaarten genereren. De programmeur zei dat hij geen regels hoefde te overtreden of veiligheidsbeperkingen hoefde te omzeilen om dit soort toegang te krijgen. In plaats daarvan accepteerden de servers van DJI het token van een enkele DJI Romo als authenticatie om toegang te krijgen tot de gegevens van alle DJI Romo's. DJI heeft deze grote beveiligingsfout op woensdag 11 februari verholpen. Desondanks illustreert het incident hoeveel persoonlijke gegevens een smart home-apparaat zoals een robotstofzuiger kan verzamelen, en hoe ernstig dit soort fout kan zijn als het door een aanvaller wordt misbruikt.