DJI Romo: κενό ασφαλείας σε ρομπότ σκούπα έδωσε πρόσβαση σε κάμερες και χάρτες σπιτιών

Τι συνέβη: το κενό ασφαλείας στο DJI Romo

Μια ευπάθεια ασφαλείας στο ρομπότ-σκούπα DJI Romo επέτρεψε πρόσβαση σε περίπου 7.000 συσκευές παγκοσμίως — συμπεριλαμβανομένων ζωντανών ροών κάμερας και χαρτών/κατόψεων των κατοικιών.

Ένας developer από τη Βαρκελώνη εντόπισε σοβαρά κενά ασφάλειας στο DJI Romo: αρχικά, ο Sammy Azdoufal ήθελε απλώς να χειριστεί το δικό του ρομπότ με χειριστήριο Playstation. Αντί γι’ αυτό, κατέληξε να αποκτά πρόσβαση σε περίπου 7.000 συσκευές σε όλο τον κόσμο.

Ο Azdoufal μπορούσε να ελέγχει τα ρομπότ από απόσταση, να βλέπει live κάμερες και να παρατηρεί κατόψεις των διαμερισμάτων όπου χρησιμοποιούνταν οι συσκευές. «Διαπίστωσα ότι η συσκευή μου ήταν μόνο μία από αμέτρητες άλλες», είπε για την ανακάλυψή του στο The Verge.

Σύμφωνα με τα ευρήματα, η αδυναμία επέτρεπε επίσης πρόσβαση σε τοποθεσίες συσκευών μέσω των IP διευθύνσεών τους.

Live demo: 6.700 συσκευές σε 9 λεπτά

Σε ζωντανή επίδειξη για το The Verge, το laptop του Azdoufal κατέγραψε μέσα σε εννέα λεπτά 6.700 συσκευές DJI σε 24 χώρες. Τα ρομπότ έστελναν κάθε τρία δευτερόλεπτα πακέτα δεδομένων MQTT με πληροφορίες όπως σειριακούς αριθμούς, δωμάτια που καθαρίστηκαν και αποστάσεις που διανύθηκαν.

Πρόσβαση χωρίς επαρκή αυθεντικοποίηση

Ο developer υποστήριξε ότι δεν χρησιμοποίησε «hacking» τεχνικές. Απλώς εξήγαγε το ιδιωτικό token του δικού του DJI Romo — ένα κλειδί πρόσβασης στα δεδομένα της δικής του συσκευής. Ωστόσο, οι servers της DJI του παρείχαν έτσι πρόσβαση σε δεδομένα χιλιάδων άλλων χρηστών.

Το The Verge επιβεβαίωσε την ευπάθεια με δοκιμαστική συσκευή. Μόνο με τον 14-ψήφιο σειριακό αριθμό, ο Azdoufal μπορούσε να ανακτήσει την τρέχουσα κατάσταση του ρομπότ. Και μέσα σε λίγα λεπτά μεταδιδόταν ένας πλήρης χάρτης/κάτοψη του σπιτιού.

Ο Azdoufal έδειξε επίσης ότι μπορούσε να εμφανίσει το live video feed του δικού του ρομπότ χωρίς να εισαγάγει το PIN ασφαλείας.

Σε ξεχωριστή δοκιμή, ένας ακόμη tester απέκτησε μέσω του λογισμικού πρόσβαση στο camera feed του DJI Romo του πριν καν κάνει σύζευξη (pairing) της συσκευής.

Η αντίδραση της DJI και τα patches

Η DJI αντέδρασε στις αναφορές και αρχικά περιόρισε τον απομακρυσμένο έλεγχο και την πρόσβαση στην κάμερα.

Μέχρι το πρωί της Τετάρτης, η πρόσβαση είχε μπλοκαριστεί πλήρως. Η εταιρεία ισχυρίστηκε αρχικά ότι είχε λύσει το πρόβλημα ήδη από την προηγούμενη εβδομάδα — ενώ ο Azdoufal μπορούσε την ίδια περίοδο να επιδεικνύει πρόσβαση σε χιλιάδες συσκευές.

Σε επικαιροποιημένη δήλωση, η DJI παραδέχτηκε ένα «πρόβλημα επικύρωσης δικαιωμάτων στο backend» στην επικοινωνία MQTT. Ανέφερε ότι εντόπισε εσωτερικά την ευπάθεια στα τέλη Ιανουαρίου.

Ένα πρώτο patch έγινε διαθέσιμο στις 8 Φεβρουαρίου και ένα δεύτερο στις 10 Φεβρουαρίου. Η DJI τόνισε ότι η επικοινωνία μεταξύ συσκευής και server ήταν κρυπτογραφημένη.

Ο Azdoufal και ο ειδικός ασφάλειας Kevin Finisterre επισήμαναν, ωστόσο, στο The Verge ότι η κρυπτογράφηση της μετάδοσης δεν αρκεί. Το κρίσιμο πρόβλημα ήταν η έλλειψη προστασίας πρόσβασης στον ίδιο τον server.

Έτσι, κάθε αυθεντικοποιημένος client μπορούσε να διαβάζει όλα τα μηνύματα όλων των συσκευών σε απλό κείμενο.

Δεν είναι η πρώτη φορά: smart ρομπότ-σκούπες και ζητήματα ασφάλειας

Η υπόθεση εντάσσεται σε μια αλυσίδα προβλημάτων ασφάλειας που έχουν κατά καιρούς επηρεάσει «έξυπνες» ρομπότ-σκούπες. Το 2024, hackers πήραν τον έλεγχο ρομπότ της Ecovacs για να κυνηγούν κατοικίδια και να εκτοξεύουν ρατσιστικές φράσεις.

Και το 2025, αρχές της Νότιας Κορέας ανέφεραν ευπάθειες στο Dreame X50 Ultra καθώς και σε άλλα μοντέλα Ecovacs και Narwal, που επέτρεπαν μη εξουσιοδοτημένη πρόσβαση σε camera feeds.

Τι να κάνεις τώρα (και τι πρέπει να αλλάξει στη βιομηχανία)

Τέτοια περιστατικά δείχνουν ότι μια ρομπότ σκούπα δεν είναι «απλώς μια οικιακή συσκευή», αλλά ένας IoT υπολογιστής με αισθητήρες, κάμερα και συνεχή σύνδεση.

Αυτό αυξάνει την άνεση, αλλά ανεβάζει και το ρίσκο: ένας χάρτης καθαρισμού μπορεί να αποκαλύψει πού είναι υπνοδωμάτια, πόρτες ή πολύτιμα αντικείμενα, ενώ ένα camera feed μετατρέπει μια συσκευή καθαρισμού σε πιθανό «παράθυρο» στο σπίτι.

Πρακτικός έλεγχος ασφάλειας για χρήστες

1. Κάνε άμεσα update firmware και την εφαρμογή του κατασκευαστή (όπου διατίθεται).
2. Άλλαξε κωδικούς και ενεργοποίησε 2FA στον λογαριασμό σου, αν υποστηρίζεται.
3. Βάλε τις IoT συσκευές σε ξεχωριστό Wi‑Fi (guest network ή VLAN) ώστε να μην έχουν πρόσβαση σε PCs/NAS.
4. Έλεγξε στις ρυθμίσεις αν μπορείς να απενεργοποιήσεις την κάμερα ή τη μεταφόρτωση χαρτών στο cloud.
5. Αν δεν χρειάζεσαι απομακρυσμένο έλεγχο, περιόρισε την πρόσβαση στο internet από το router (π.χ. κανόνες firewall) ή χρησιμοποίησε λειτουργίες «μόνο τοπικά», όπου υπάρχουν.

Τι πρέπει να κάνουν οι κατασκευαστές (μαθήματα από το MQTT)

Η κρυπτογράφηση «στο δρόμο» (TLS) είναι απαραίτητη, αλλά δεν αρκεί αν ο server δεν επιβάλλει σωστά δικαιώματα ανά συσκευή.

Σε αρχιτεκτονικές MQTT, αυτό συνήθως σημαίνει αυστηρά ACLs (ποια topics μπορεί να κάνει publish/subscribe κάθε client), tokens μικρής διάρκειας, rate limits και έλεγχο ότι ο σειριακός αριθμός δεν αρκεί ως «κλειδί».

Τέλος, η υπεύθυνη γνωστοποίηση (responsible disclosure), με σαφή κανάλια αναφοράς και γρήγορα patches, είναι κρίσιμη: οι IoT συσκευές ζουν μέσα σε σπίτια, όχι σε εργαστήρια.