Mannen ville bara styra sin nya robotdammsugare med en PlayStation-handkontroll. Men anade han inte att experimentet skulle ge honom tillgång till tusentals främlingars hem runt om i världen.
Hackade robotdammsugare över hela världen – av misstag
Sammy Azdoufal hade inte för avsikt att hacka sig in i tillverkaren DJI:s system.
Men genom att extrahera sin egna enhets privata token fick han via bolagets servrar tillgång till runt 7 000 robotdammsugare i 24 länder, utan att kringgå ett enda säkerhetslager, skriver The Verge.
Därifrån kunde han se live-kameraflöden, följa städrörelser i realtid och ta del av detaljerade planritningar av andra användares hem.
The Verge bekräftade sårbarheten i en direktdemonstration där Azdoufal, från Barcelona, med bara ett serienummer kunde identifiera en kollegas dammsugare, se att den städade vardagsrummet och hade 80 procents batteri kvar. Samt hämta en korrekt planritning över bostadens rum.
DJI på bollen redan innan
DJI hade påbörjat åtgärder mot delar av problemet redan innan The Verge publicerade sin granskning i februari, men erkände efteråt att den initiala patchen inte applicerats på alla servernoder.
Bolaget medgav också en ”backend-valideringsbugg” i MQTT-kommunikationen mellan enheterna och servern. De uppgav också att sårbarheten teoretiskt sett kunde ha gett obehöriga tillgång till live-video från Romo-enheter.
Utöver den ursprungliga säkerhetsbristen hittade Azdoufal ytterligare sårbarheter, däribland möjligheten att se Romons livevideo utan att ange säkerhetspinnen.
En tredje sårbarhet bedömde The Verge som alltför allvarlig för att beskriva i detalj. Båda uppges nu vara under åtgärd, och DJI säger att allt ska vara löst inom en månad.
Belönas för upptäckten
DJI har publicerat ett blogginlägg om säkerhetsarbetet kring Romo där bolaget uppger att enheten har certifieringar från ETSI, EU och UL.
Det väcker frågor om hur mycket sådana certifieringar egentligen är värda när en enda person med AI-verktyget Claude Code kunde kartlägga ett globalt nätverk av robotdammsugare.
Nu bekräftar DJI för The Verge att man har belönat Azdoufal för upptäckten.
Har får nu 30 000 dollar, för en enda av de sårbarheter han hittade när han egentligen bara ville leka med sin dammsugare.