Een man die probeerde zijn DJI Romo-stofzuiger te bedienen met een PlayStation 5-controller kreeg per ongeluk op afstand toegang tot zo’n 7.000 Romo-stofzuigers wereldwijd, waardoor hij via internet in huizen van mensen kon kijken.
Zoals The Verge eerder deze maand meldde, bouwde Sammy Azdoufal een afstandsbedienings-app om met zijn PS5-controller de DJI Romo te besturen. DJI bracht de Romo vorig jaar uit, gebruikmakend van zijn uitgebreide drone-technologie, waaronder obstakeldetectie-beeldvorming en een binoculaire fisheye-beeldsensor. De app van Azdoufal maakte verbinding met de wereldwijde servers van DJI, waardoor hij een ongelooflijk niveau van toegang kreeg.
Azdoufal vertelde The Verge dat hij op afstand videobeelden kon bekijken en kon meeluisteren van Romo-stofzuiger-camera systemen wereldwijd, en zelfs het IP-adres van een individuele robot kon gebruiken om zijn geschatte locatie te achterhalen. Azdoufal toonde The Verge zelfs een live demonstratie van zijn app in werking, die ook kon verbinden met DJI Power draagbare batterijstations.
The Verge testte het zelfs in realtime, waarbij ze Azdoufal probeerden een unit te vinden die Thomas Ricker van The Verge onlangs beoordeelde. Inderdaad trok Azdoufal de robot op met zijn serienummer, kreeg hij een nauwkeurige plattegrond van Rickers appartement en kreeg hij toegang tot een live videofeed.
Hoewel dit allemaal nogal duivels klinkt, beweert Azdoufal dat hij dit opmerkelijke toegangsniveau heeft bereikt zonder ooit regels te overtreden, beveiliging te omzeilen of ergens op te in te grijpen. Hij nam een privé-token van zijn eigen Romo, en om welke reden dan ook verleenden DJI’s servers hem toegang tot alles, ook tot pre-productieservers van DJI.
Oupss https://t.co/lqUswFk8CU pic.twitter.com/jjgoIk86Lm
— Sam (@n0tsa) February 6, 2026
Het is gek.
Nog voordat The Verge de app van Azdoufal in actie zag, had het DJI erover geïnformeerd, en het bedrijf zei dat de beveiligingslekken al verholpen waren. Echter, zoals blijkt uit de live demo die Azdoufal aan The Verge gaf, was dat niet het geval. Beveiligingslekken kunnen ingewikkeld en moeilijk te repareren zijn, natuurlijk, maar het is zorgelijk dat zoiets überhaupt mogelijk was in de eerste plaats.
Dit is verre van de eerste keer dat een stuk huishoudelijke technologie beveiligingskwetsbaarheden vertoont, en helaas zal het waarschijnlijk niet de laatste keer zijn.
Daar komt bij dat The Verge het heel treffend stelt: “… mensen die een camera in hun huis plaatsen, verwachten dat die data beschermd is, zowel tijdens verzending als zodra ze bij de server aankomt.”
Tot nu toe bestaan er nog kwetsbaarheden bij de DJI Romo, waarvan DJI aan The Verge liet weten dat ze binnen “weken” opgelost zullen worden. De publicatie en Azdoufal houden gelukkig een aantal daarvan onder de pet totdat ze volledig zijn verholpen.
