Det startede som et weekendprojekt. Sammy Azdoufal, som til daglig arbejder med AI-strategi, havde lige købt en ny DJI Romo-robotstøvsuger og ville se, om han kunne styre den med en PlayStation 5-controller. Han brugte AI-kodeværktøjet Claude Code til at bygge en lille app, som kommunikerede med DJI’s servere. Men i stedet for kun at kommunikere med sin egen robotstøvsuger kom han i forbindelse med omkring 7.000 Romo-robotter i 24 lande.
“Jeg fandt ud af, at min støvsuger bare var én i et hav af støvsugere”, sagde Azdoufal til The Verge, som først rapporterede historien.
Kamera, mikrofon og plantegning over hjemmet
Alene ved hjælp af et 14-cifret serienummer kunne Azdoufal se live-video fra robotstøvsugernes kameraer, lytte med via mikrofoner, tjekke batteriniveauet og generere detaljerede 2D-plantegninger af fremmede menneskers hjem. Han kunne også estimere enhedernes omtrentlige placering via IP-adresser.
For at vise, hvor alvorligt det var, lokaliserede han en journalists Romo-enhed i et andet land, bekræftede, at den gjorde rent i stuen med 80 procent batteri tilbage, og producerede et nøjagtigt kort over boligen. Alt sammen uden journalistens viden.
Azdoufal understreger, at han ikke hackede sig ind nogen steder. Han brugte sin egen støvsugers sikkerhedstoken – men DJI’s server gav ham også adgang til alt andet.
En overraskende simpel fejl
Det tekniske problem er næsten pinligt enkelt: DJI’s beskedserver, som håndterer kommunikationen mellem robotstøvsugerne og cloud-tjenesten, manglede det, der kaldes adgangskontrol på emneniveau. I praksis betyder det, at enhver bruger, der loggede ind med sin egen robotstøvsuger, automatisk fik adgang til datastrømmen fra alle de andre robotstøvsugere, der var forbundet til DJI’s cloud-server.
Krypteringen var på plads, men den beskyttede kun selve forbindelsen mellem enhed og server, ikke indholdet. Alle informationer lå i klartekst, så den første, den bedste kunne komme ind. Omtrent som et hotel med en solid lås på hovedindgangen, men hvor alle gæster har fået det samme nøglekort – som åbner samtlige værelser.
DJI har tætnet det meste – men ikke alt
DJI har erkendt problemet og udrullet to automatiske opdateringer den 8. og 10. februar, som har lukket for den mest alvorlige sårbarhed. Ejere af DJI Romo robotstøvsugere behøver ikke at gøre noget aktivt, opdateringerne installeres automatisk, så længe robotstøvsugeren er forbundet til Wi-fi.
Men ifølge Azdoufal tilbagestår der stadig mindst én sårbarhed: Det skal stadig være muligt at se videostrømmen fra en DJI Romo uden at være i besiddelse af den påkrævede sikkerhedskode. DJI siger, at de vil løse dette problem “inden for få uger”.
Det er sket før
DJI Romo-sagen er desværre ikke unik. I oktober 2024 kunne vi fortælle, hvordan sikkerhedsforskeren Dennis Giese havde opdaget alvorlige huller i Ecovacs’ populære Deebot-serie. Her kunne hackere tage kontrol over kamera og mikrofon fra en afstand på op til 130 meter via Bluetooth, uden at ejeren fik besked. Sårbarhederne blev udnyttet i flere amerikanske byer, hvor ubudne gæster bl.a. brugte robotternes højttalere til at råbe ukvemsord og skræmme kæledyr.
Også Dreame har haft lignende problemer. Mønsteret er det samme hver gang: Producenten sikrer selve dataforbindelsen, men tjekker ikke ordentligt, hvem der rent faktisk har adgang til data i den anden ende.
Sådan reducerer du risikoen
Robotstøvsugere med kameraer blir stadig mer avansert og utbredt, og det er liten grunn til å tro at sikkerhetsutfordringene forsvinner med det første. Her er noen enkle grep:
Robotstøvsugere med kameraer bliver stadig mere avancerede og udbredte, og der er ingen grund til at tro, at sikkerhedsudfordringerne forsvinder lige med det samme. Her er nogle enkle trin til at minimere risikoen for ‘uønskede gæster’:
1. Hold din robotstøvsuger opdateret
Sørg for, at den er forbundet til Wi-fi, så den automatisk modtager sikkerhedsopdateringer. For DJI Romo-ejere er den første del af den kritiske opdatering allerede rullet ud.
2. Aktivér sikkerhedskoden
Brug PIN-kode eller password til kameraadgang, hvor det er muligt. Vær dog opmærksom på, at denne beskyttelse ikke altid er vandtæt, som DJI-sagen viser.
3. Tjek privatlivsindstillingerne
Gennemgå app’ens indstillinger, og deaktiver datadeling og ‘produktforbedringsprogrammer’, som du ikke har bedt om.
4. Har du egentlig brug for kameraet?
Mange robotstøvsugere navigerer fint med LiDAR-sensorer alene. Som Roborock Qrevo S og Xiaomi X20 Max. Hvis du er bekymret for sikkerheden og alligevel ikke har tænkt dig at bruge kamerafunktionen aktivt til hjemmeovervågning, kan det være en idé at vælge en model uden kamera næste gang. Eller en, hvor kameraet kan deaktiveres. For de mest sikkerhedsbevidste findes der også modeller med et fysisk kameradæksel.
Læs videre med LB+
LB+ Total UGE
Fuld adgang til alt LB+ indhold - Ingen bindingsperiode!
Tilbud - 4 uger 4 kr.
Fuld adgang til alt LB+ indhold
LB+ Total 12 måneder
Fuld adgang til alt indhold på Lyd & Billede og L&B Home i 12 måneder
- Adgang til mere end 7.800 produkttests!
- Store rabatter hos vores partnere i LB+ Fordelsklub
- Ugentlige nyhedsbreve med de seneste nyheder
- L&B TechCast – en podcast fra L&B
- Magsinet digitalt – ny udgave hver måned
- Deaktivering af annoncer
- L&B+ Video – kom med L&B-redaktionen bag kulisserne, på de store tech-messer og meget mere!
