Key takeaways
- Een software engineer kreeg per ongeluk toegang tot de camera’s en microfoons van bijna zevenduizend DJI-robotstofzuigers wereldwijd.
- Het lek ontstond door een fout in de servers van DJI waardoor een individuele gebruiker werd herkend als de eigenaar van duizenden andere apparaten.
- Hoewel het specifieke lek is gedicht, waarschuwen experts voor de groeiende privacyrisico’s naarmate meer complexe robots onze huizen betreden.
Een onschuldige poging van software engineer Sammy Azdoufal om zijn nieuwe DJI-robotstofzuiger aan te sturen met een videogamecontroller, ontaardde onbedoeld in een grootschalig privacylek. Door een fout in de backend-beveiliging kreeg hij toegang tot de live camerabeelden en microfoons van bijna zevenduizend andere apparaten verspreid over vierentwintig landen.
Toegang tot duizenden huishoudens
Azdoufal ontdekte het lek terwijl hij werkte aan een eigen app om zijn robot op afstand te bedienen. Met behulp van een AI-coderingstool probeerde hij de communicatie tussen het apparaat en de cloudservers van DJI te ontleden. Tot zijn verbazing bleken de inloggegevens die hem toegang gaven tot zijn eigen stofzuiger, hem ook de controle te geven over een klein leger aan internet-verbonden robots van andere eigenaren. Zonder dat zij het wisten, veranderden hun huishoudelijke hulpen in actieve spionagetools.
Bovendien kon Azdoufal niet alleen de camera’s activeren, maar ook gedetailleerde plattegronden van de woningen inzien en de globale locatie van de robots achterhalen via hun IP-adressen. DJI, een Chinese techreus die vooral bekendstaat om zijn drones, heeft de DJI Romo inmiddels uitgebreid naar diverse internationale markten voor een prijs van ongeveer twee duizend dollar. Het incident onderstreept de jarenlange waarschuwingen van cybersecurity-experts dat slimme apparaten in huis aantrekkelijke doelwitten vormen voor kwaadwillenden.
Risico’s van smarthometoestellen
DJI heeft in een reactie laten weten dat de kwetsbaarheid inmiddels is verholpen via automatische updates in februari. De fabrikant claimt dat er geen actie van de gebruiker vereist is. Tegelijkertijd groeit de onrust over de privacykosten van het moderne slimme huis. Eerdere incidenten bij bedrijven zoals Ring en Google voedden al de discussie over hoeveel controle consumenten daadwerkelijk hebben over hun gevoelige data zodra deze op externe servers worden opgeslagen.
Verder wordt het risico complexer naarmate robots geavanceerder worden. Bedrijven zoals Tesla en Figure werken aan mensachtige robots die nog intiemere toegang tot onze leefruimte nodig hebben om te kunnen functioneren. Voor een hacker of stalker vertegenwoordigen deze apparaten een potentiële goudmijn aan informatie. Het geval van Azdoufal toont aan dat er nog serieuze veiligheidsrisico’s bestaan bij deze smarthomeapparaten. (fc)
Volg Business AM ook op Google Nieuws
Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!