Sammy Azdoufal wilde zijn robotstofzuiger besturen met een PS5-controller. Zoals elke goede maker vond hij het leuk om een nieuwe DJI Romo handmatig te besturen. Uiteindelijk kreeg hij toegang tot een leger van robotstofzuigers die hem inzicht gaven in duizenden huizen.
Puur uit speelsheid gebruikte Azdoufal de AI-codeerassistent Claude Code van Anthropic om de communicatieprotocollen van zijn Romo te reverse-engineeren. Maar toen zijn zelfgemaakte app verbinding maakte met de servers van DJI, begonnen ongeveer 7.000 robotstofzuigers in 24 landen te reageren.
Hij kon hun live camerabeelden bekijken, luisteren via ingebouwde microfoons en plattegronden genereren van huizen die hij nog nooit had bezocht. Met slechts een 14-cijferig serienummer lokaliseerde hij de robot van een journalist van The Verge, bevestigde dat deze de woonkamer aan het schoonmaken was met een batterij van 80% en produceerde hij een nauwkeurige plattegrond van het huis vanuit een ander land.
De technische storing was bijna komisch eenvoudig. De MQTT-berichtbroker van DJI had geen toegangscontrole op topicniveau. Zodra je je met één apparaattoken had geauthenticeerd, kon je het verkeer van andere apparaten in leesbare tekst zien.
Het waren niet alleen stofzuigers die antwoord gaven. Ook de draagbare batterijstations van DJI, die op dezelfde MQTT-infrastructuur draaien, kwamen tevoorschijn. Dit zijn back-upgeneratoren voor thuisgebruik die uitbreidbaar zijn tot 22,5 kWh en op de markt worden gebracht om uw huis tijdens stroomuitval van stroom te voorzien.
Wat dit anders maakt dan een conventionele beveiligingsontdekking, is hoe het gebeurde. Azdoufal gebruikte Claude Code om de mobiele app van DJI te decompileren, het protocol ervan te begrijpen, zijn eigen authenticatietoken te extraheren en een aangepaste client te bouwen.
AI-coderingshulpmiddelen verlagen de lat voor geavanceerde offensieve beveiliging. Het aantal mensen dat in staat is om Internet of Things (IoT)-protocollen te onderzoeken, is nu veel groter geworden, waardoor het resterende vertrouwen in beveiliging door onduidelijkheid verder is uitgehold.
Waarom veel IoT-stofzuigers slecht presteren
Dit is niet de eerste keer dat iemand op afstand een robotstofzuiger heeft gekaapt. In 2024namen hackers Ecovacs Deebot X2-stofzuigers in verschillende Amerikaanse stedenin beslag, schreeuwden beledigingen door luidsprekers en joegen huisdieren achterna. De pincodebeveiliging van Ecovacs werd alleen door de app gecontroleerd, nooit door de server of het apparaat.
Afgelopen september heeft de Zuid-Koreaanse consumentenwaakhond zes merken getest. Samsung en LG scoorden goed, maar bij drie Chinese modellen werden ernstige tekortkomingen geconstateerd. De X50 Ultra van Dreame maakte activering van de camera op afstand mogelijk. Onderzoeker Dennis Giese meldde later een TLS-kwetsbaarheid in de app van Dreame aan CISA. Dreame reageerde niet op de vragen van CISA.
Het patroon blijft zich herhalen: fabrikanten leveren stofzuigers met klassieke beveiligingsfouten, negeren onderzoekers en komen dan in actie wanneer journalisten hierover publiceren.
De eerste reactie van DJI maakte de situatie alleen maar erger. Woordvoerder Daisy Kong vertelde The Verge dat het probleem de week ervoor was opgelost. Die verklaring kwam ongeveer dertig minuten voordat Azdoufal liet zien dat duizenden robots, waaronder het testexemplaar van de journalist zelf, nog steeds live verslag deden. DJI bracht later een uitgebreidere verklaring uit waarin het bedrijf een probleem met de validatie van backend-toestemmingen erkende en twee patches uitbracht, op 8 en 10 februari.
DJI zei dat TLS-encryptie altijd aanwezig was, maar Azdoufal zegt dat dit de verbinding beschermt, niet wat erin zit. Hij vertelde The Verge ook dat er nog steeds extra kwetsbaarheden niet zijn gepatcht, waaronder een pincode-bypass op de camerabeelden.
Regelgevers oefenen druk uit
Regelgeving komt eraan, langzaam maar zeker. De Cyber Resilience Act van de EU zal tegen december 2027 verplichte security-by-design vereisen voor alle verbonden producten die in de EU worden verkocht, met boetes tot € 15 miljoen. De Britse PSTI-wet, die sinds april 2024 van kracht is, werd de eerste wet ter wereld die standaardwachtwoorden op slimme apparaten verbood. Het Amerikaanse Cyber Trust Mark is daarentegen vrijwillig. Deze kaders zijn technisch gezien van toepassing ongeacht waar de fabrikant gevestigd is. In de praktijk is het opleggen van boetes aan een bedrijf in Shenzhen dat de coördinatieverzoeken van CISA negeert, een heel andere zaak.
Hoe blijf ik veilig
Er zijn praktische stappen die u kunt nemen:
- Controleer onafhankelijke beveiligingstests voordat u verbonden apparaten koopt.
- Plaats IoT-apparaten op een apart gastnetwerk
- Houd de firmware up-to-date
- Schakel functies uit die u niet nodig hebt
En vraag jezelf af of een stofzuiger echt een camera nodig heeft. Veel modellen die alleen LiDAR gebruiken, navigeren effectief zonder video. Als je apparaat een camera of microfoon heeft, bedenk dan of je je comfortabel voelt met die blootstelling, of bedek de lens fysiek wanneer je het apparaat niet gebruikt.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
