Toen een doe-het-zelver een paar dagen geleden zijn DJI Romo-veegrobot probeerde te besturen met een PS5-gamecontroller, veroorzaakte hij per ongeluk een ernstig beveiligingsprobleem. Als gevolg hiervan waren ongeveer 6.700 robots van dit type over de hele wereld onderworpen aan ongeautoriseerde toegang, waardoor ze realtime camerabeelden konden bekijken, 2D-plattegronden van hun huis konden verkrijgen en zelfs de locatie van apparatuur konden lokaliseren.
Nadat het incident door The Verge aan het licht was gebracht, reageerde DJI officieel en zei dat het de kwetsbaarheid had verholpen.
De kwetsbaarheid werd ontdekt door Sammy Azdoufal. Hij vertelde de media dat het zijn oorspronkelijke bedoeling was om alleen de PS5-controller te gebruiken om de nieuw aangeschafte DJI Romo te besturen, dus gebruikte hij Claude Code-software om het communicatieprotocol tussen de robot en de DJI-server te reverse-engineeren, en maakte hij een zelfgemaakte afstandsbedieningsapplicatie.
Verrassend genoeg waren de machtigingen van de app niet meer onder controle nadat er verbinding met de server was gemaakt. Hij haalde alleen het privétoken van zijn eigen apparaat eruit en ontving een reactie van ongeveer 7.000 Romo-eenheden over de hele wereld.
Een verslaggever van The Verge was live getuige van de kwetsbaarheidsdemonstratie. Binnen 9 minuten registreerde de computer van Azdufar 6.700 DJI-apparaten in 24 landen en verzamelde meer dan 100.000 apparaatberichten, waaronder serienummers van het apparaat, clean rooms, geziene scènes, rijafstand, oplaadtijd en aangetroffen obstakels, enz.
Twee kaarten van Thomas' woonruimte. Bovenaan staat de niet-geverifieerde kaart verkregen van de DJI-server; de onderkant is de kaart die de huiseigenaar op zijn mobiele telefoon ziet.
Met alleen het 14-cijferige serienummer van het apparaat dat is verstrekt door mijn collega Thomas Ricker, kan ik nauwkeurig de status controleren van de robot die de woonkamer schoonmaakt en de resterende 80% van de batterij, en ook de nauwkeurige plattegrond van het huis van mijn collega verkrijgen.
Bovendien kon hij de beveiligingspincode van zijn robot omzeilen om realtime beelden te bekijken, en deelde hij zelfs een alleen-lezen versie van de applicatie met Gonzague Dambricourt, CTO van een Frans IT-adviesbureau, die op afstand de camerabeelden van zijn Romo kon bekijken zonder het apparaat te koppelen.
Azdufar benadrukte dat hij de DJI-server niet was binnengevallen. "Ik heb geen enkele regel overtreden, geen enkel systeem gekraakt of bruut geforceerd." Het was alleen zo dat het privétoken dat hij voor zijn eigen apparaat had geëxtraheerd, wat de sleutel moest zijn om de toegangsrechten van zijn eigen apparaat te verifiëren, door de DJI-server verkeerd werd beoordeeld als een algemene toestemming, waardoor gegevens lekten op duizenden apparaten over de hele wereld.
Hij onthulde ook dat hij elke keer dat hij de tool sloot alle verkregen gegevens zou wissen en geen misbruik zou maken van de maas in de wet om de privacy van anderen te schenden.