Een software-ingenieur heeft per ongeluk toegang gekregen tot de live camerafeeds, microfoonaudio en locatiegegevens van bijna 7.000 DJI-robotstofzuigers in 24 landen. Het incident benadrukt een kritieke beveiligingsfout in de apparaten, waardoor vragen rijzen over de privacy-implicaties van de steeds meer verbonden smart home-technologie.
Accidentele toegang, wereldwijde schaal
Terwijl Sammy Azdoufal probeerde een aangepaste app voor afstandsbediening te bouwen voor zijn DJI Roborock-stofzuiger, ontdekte hij een kwetsbaarheid in de backend die hem toegang gaf tot een verbazingwekkend aantal andere apparaten. Door gebruik te maken van een AI-coderingsassistent om de communicatie van de robot met de cloudservers van DJI te reverse-engineeren, stuitte hij op een inloggegevensprobleem. In plaats van zich te beperken tot zijn eigen vacuüm, behandelden de servers hem als de eigenaar van duizenden anderen. Dit betekende dat hij realtime camerastreams kon bekijken, microfoons kon activeren, plattegronden kon samenstellen en geschatte locaties kon identificeren via IP-adressen.
Dit gaat niet over hacken; het gaat over een systemische fout in de authenticatie. De kwetsbaarheid bracht een leger van met internet verbonden robots aan het licht die, in de verkeerde handen, gemakkelijk als wapen hadden kunnen worden ingezet voor surveillance.
DJI’s reactie en bredere implicaties
DJI beweert het probleem te hebben opgelost met twee updates die in februari werden geïmplementeerd, waarbij werd verklaard dat er geen actie van de gebruiker nodig was. Het incident onderstreept echter een groeiende trend: smart home-apparaten zijn aantrekkelijke doelwitten voor kwaadwillende actoren. Naarmate huishoudens meer robots adopteren, inclusief geavanceerde humanoïde modellen, zullen kwetsbaarheden waarschijnlijk moeilijker te detecteren zijn.
De Romo-robot, die ongeveer 2.000 dollar kost, is afhankelijk van constante gegevensverzameling – visuele feeds en gedetailleerde plattegronden – om autonoom te kunnen functioneren. Deze gegevens worden gedeeltelijk opgeslagen op de servers van DJI, waardoor een gecentraliseerd storingspunt ontstaat. De ontdekking van de ingenieur toont aan dat deze systemen vaak gemak boven veiligheid stellen.
Een breder patroon van zorgen over privacy
De DJI-kwetsbaarheid staat niet op zichzelf. Recente controverses over Ring-camera’s, Google Nest-deurbellen en aanhoudende geopolitieke zorgen rond Chinese technologiefabrikanten illustreren een groter patroon van privacy-erosie in de smart home-ruimte. Wetgevers in de VS hebben gewaarschuwd voor de veiligheidsrisico’s van apparaten van Chinese makelij, hoewel concreet bewijs onduidelijk blijft.
De realiteit is dat veel slimme apparaten voor thuisgebruik een geschiedenis van twijfelachtige beveiligingspraktijken hebben, ondanks dat ze in de meest privégebieden van ons leven actief zijn. Uit marktonderzoek blijkt dat consumenten deze apparaten niet alleen adopteren, maar actief op zoek zijn naar meer. In 2020 hadden ruim 54 miljoen Amerikaanse huishoudens al minstens één smart home-apparaat geïnstalleerd.
De toekomst van huisautomatisering
Bedrijven als Tesla en Figure racen om volledig autonome mensachtige robots voor huishoudelijk gebruik te ontwikkelen. Deze machines zullen ongekende toegang tot intieme details van onze huizen nodig hebben om effectief te kunnen functioneren. Dit biedt huiveringwekkende vooruitzichten: voor kwaadwillende actoren is het potentieel voor uitbuiting enorm.
De toevallige ontdekking door Azdoufal herinnert ons eraan dat de haast om slimme huistechnologie te omarmen moet worden getemperd met rigoureuze beveiligingsmaatregelen. Hoewel hij zijn robot simpelweg met een joystick wilde besturen, bracht zijn ervaring een fundamentele fout in de architectuur van verbonden apparaten aan het licht. Naarmate de technologie zich verder ontwikkelt, zal de grens tussen gemak en toezicht blijven vervagen, wat een grotere waakzaamheid van zowel fabrikanten als consumenten vergt.
