DJI Romo robotdammsugare gav användare tillgång till 7 000 hem

Det började som ett helgprojekt. Sammy Azdoufal, som arbetar med AI-strategi på daglig basis, hade just köpt en ny DJI Romo robotdammsugare och ville se om han kunde styra den med en PlayStation 5-kontroll. Han använde AI-kodningsverktyget Claude Code för att bygga en liten app som kommunicerade med DJI:s servrar. Men istället för att bara kommunicera med sin egen robotdammsugare fick han svar från cirka 7 000 Romo-robotar i 24 länder.

– Jag upptäckte att min dammsugare bara var en i ett hav av dammsugare, berättade Azdoufal för The Verge, som var först med att rapportera om händelsen.

Kamera, mikrofon och planritning av hemmet

Med hjälp av endast ett fjortonsiffrigt serienummer kunde Azdoufal se live-video från robotdammsugarnas kameror, lyssna via mikrofoner, kontrollera batterinivåer och skapa detaljerade 2D-planritningar av främlingars hem. Han kunde också uppskatta enhetens ungefärliga plats via IP-adresser.

För att visa hur allvarligt detta var lokaliserade han en journalists Romo-enhet i ett annat land, bekräftade att den städade vardagsrummet med 80 procent batteri kvar och skapade en exakt karta över hemmet. Allt utan journalistens vetskap.

Azdoufal betonar att han inte hackade sig in i något. Han använde sin egen robotdammsugares säkerhetstoken – men DJI:s server gav honom tillgång till allt annat också.

Ett förvånansvärt enkelt fel

Det tekniska problemet är nästan pinsamt enkelt: DJI:s meddelandeserver, som hanterar kommunikationen mellan robotdammsugarna och molntjänsten, saknade så kallad åtkomstkontroll på ämnesnivå. I praktiken innebär detta att alla användare som loggade in med sin egen robotdammsugare automatiskt fick tillgång till dataströmmen från alla andra robotdammsugare som var anslutna till DJI:s molnserver.

Kryptering fanns på plats, men den skyddade endast anslutningen mellan enheten och servern, inte innehållet. All information var i klartext för den som loggade in först. Det var som ett hotell med ett solitt lås på huvudentrén, men där alla gäster har fått samma nyckelkort – som öppnar alla rum.

DJI har åtgärdat de flesta problemen – men inte alla

DJI erkände problemet och lanserade två automatiska uppdateringar den 8 och 10 februari, som åtgärdade den allvarligaste sårbarheten. Ägare av DJI Romo behöver inte vidta några åtgärder; uppdateringarna installeras automatiskt så länge robotdammsugaren är ansluten till WiFi.

Enligt Azdoufal finns dock minst en sårbarhet kvar: Det är fortfarande möjligt att se videoströmmen från en DJI Romo utan den nödvändiga säkerhetskoden. DJI säger att man kommer att åtgärda detta ”inom några veckor”.

Har hänt tidigare

Tyvärr är fallet med DJI Romo inte unikt. I oktober 2024 rapporterade vi om hur säkerhetsforskaren Dennis Giese upptäckte allvarliga sårbarheter i Ecovacs populära Deebot-serie. Hackare kunde ta kontroll över kameran och mikrofonen på upp till 130 meters avstånd via Bluetooth, utan att ägaren underrättades. Sårbarheterna utnyttjades i flera amerikanska städer, där inkräktare bland annat använde robotarnas högtalare för att skrika obsceniteter och skrämma husdjur.

Dreame har också haft liknande problem. Mönstret är detsamma varje gång: tillverkaren säkrar själva dataförbindelsen, men kontrollerar inte ordentligt vem som faktiskt har tillgång till data i andra änden.

Så minskar du risken

Robotdammsugare med kameror blir alltmer avancerade och utbredda, och det finns få skäl att tro att säkerhetsutmaningarna kommer att försvinna inom den närmaste framtiden. Här är några enkla åtgärder du kan vidta:

1. Håll din robotdammsugare uppdaterad.
   Se till att den är ansluten till WiFi så att den automatiskt får säkerhetsuppdateringar. För ägare av DJI Romo har den första delen av den kritiska uppdateringen redan rullats ut.
2. Aktivera säkerhetskod.
   Använd en PIN-kod eller ett lösenord för åtkomst till kameran där det är möjligt. Tänk på att detta skydd inte alltid är helt säkert, som fallet med DJI visar.
3. Kontrollera dina sekretessinställningar.
   Gå igenom appens inställningar och inaktivera datadelning och ”produktförbättringsprogram” som du inte har begärt.
4. Behöver du verkligen kameran?
   Många robotdammsugare navigerar utmärkt med endast LiDAR-sensorer. Till exempel Roborock Qrevo S och Xiaomi X20 Max. Om du är orolig och inte har för avsikt att aktivt använda kamerafunktionen för hemövervakning kan det vara värt att välja en modell utan kamera nästa gång. Eller en där kameran kan inaktiveras. För de mest säkerhetsmedvetna finns det också modeller med ett fysiskt kameraskydd.