Softverski inženjer iz SAD-a Sammy Azdoufal imao je jednostavan cilj i želio je upravljati svojim robotskim usisavačem pomoću PS5 DualSense kontrolera za računalne igre. Ono što je započelo kao hobi ubrzo se pretvorilo u neviđeno otkriće, jer nakon Azdoufalovog slučajnog pristupa više od 7000 robotskih usisavača istog proizvođača u dvadesetak zemalja, on je odjednom mogao promatrati njihove pokrete i unutrašnjost domova njihovih vlasnika, prenosi portal The Verge.
Prekretnica se dogodila kada je Azdoufal koristio AI alat Claude Code za analizu prometa između novog DJI Romo robotskog usisavača i DJI-jeva servera. Kada je sigurnosni token namijenjen njegovom uređaju, zapravo otvorio pristup svim DJI Romo uređajima u svijetu, otkriven je, blago rečeno, ogroman sigurnosni propust.
Svake tri sekunde, Azdoufalova aplikacija bilježila je serijske brojeve, rute čišćenja, razinu baterije, prepreke te je mogla aktivirati kamere i mikrofone 7000 drugih Romo uređaja u svijetu. Pomoću prostornih podataka mogao je rekonstruirati dvodimenzionalne tlocrte, a s IP adresama približno locirati i domove vlasnika uređaja. Taj DJI-jev propust tako je nenamjerno omogućio globalni nadzor za jednog korisnika koji se eto zna jako dobro služiti naprednim AI alatima.
Brza reakcija, preostali problemi
DJI je ubrzo izdao zakrpu koja rješava propust nakon što su Azdoufal i portal The Verge prijavili problem. Glasnogovornik tvrtke potvrdio je da je "problem s provjerom dopuštenja u pozadini koji utječe na MQTT komunikaciju između uređaja i poslužitelja" omogućio "teoretsku mogućnost neovlaštenog pristupa uživo videu ROMO uređaja."
Ipak, Azdoufal ističe da neke ranjivosti DJI-jevog sustava još nisu riješene. DJI je obećao da će ih popraviti "unutar nekoliko tjedana." No, pitanje ostaje zašto robotski usisavači uopće trebaju mikrofon, recimo?
Nije jedinstven incident s robotskim usisavačima
Isto tako, nije riječ ni o prvom takvom slučaju. Godine 2024. sigurnosni propusti Ecovacs usisavača omogućili su hakerima špijuniranje vlasnika i uznemiravanje kućnih ljubimaca.
Unatoč rizicima, Azdoufal je naposljetku ostvario svoj prvotni cilj, koji je bio upravljanje usisavačem putem ranije navedenog kontrolera. No, u svijetu povezanih uređaja, praktičnost čini se često dolazi uz cijenu nečije druge privatnosti.