Priče o pobuni strojeva godinama su inspiracija za bezbrojne knjige, filmove i druge oblike umjetnosti. Iako se u tim scenarijima često zamišljaju roboti koji preuzimaju vlast, robotski usisavači, čija je primarna namjena čišćenje naših domova, rijetko se nalaze na vrhu popisa potencijalnih prijetnji. Međutim, nedavno otkriveni propust u sustavu sigurnosti robotskih usisivača DJI Romo pokazuje da stvarna opasnost ne leži u samim uređajima, već u ranjivostima njihovih upravljačkih sustava.
Neočekivano otkriće Sammyja Azdoufala
U veljači 2026. godine, Sammy Azdoufal, neovisni inženjer, radio je na razvoju prilagođene aplikacije koja bi omogućila upravljanje DJI Romo robotskim usisivačima putem kontrolera za PlayStation 5. Tijekom testiranja, slučajno je naišao na ozbiljan sigurnosni propust. Umjesto da samo upravlja jednim uređajem, Azdoufal je otkrio način za pristup tlocrtima domova, video zapisima uživo i potpunu daljinsku kontrolu nad velikim brojem usisivača. Ubrzo je shvatio da ima pristup i kontrolu nad čak 6.700 robotskih usisivača diljem svijeta. Važno je napomenuti da ovo nije bilo klasično hakiranje sustava, već posljedica nepravilno implementiranih kontrola pristupa na strani poslužitelja i načina rukovanja podacima.
Kako je došlo do propusta i što je otkriveno?
Azdoufal je objasnio kako je njegov cilj bio samo istražiti mogućnost komunikacije između kontrolera za PlayStation 5 i usisivača pomoću umjetne inteligencije. Tijekom eksperimentiranja, primijetio je da poslužitelji tvrtke DJI nisu adekvatno provjeravali izvore zahtjeva. Svakom korisniku slale su se iste informacije, uključujući identifikacijski ključ uređaja, pristupni token i kartu stana u JPG formatu. Kada je jednom uspio presresti taj tok podataka, shvatio je da ga može replicirati za bilo koji serijski broj usisivača. To mu je omogućilo pregled uživo iz različitih prostorija diljem svijeta, a da vlasnici toga nisu bili svjesni. Azdoufal je naglasio kako se nije osjećao kao haker, već kao osoba koja je slučajno pronašla otvorena vrata.
Propust je nastao zbog načina na koji DJI Romo usisavači komuniciraju sa središnjim poslužiteljem. Kada se uređaj prvi put poveže, registrira se u oblaku i šalje kartu stana radi učinkovitijeg čišćenja. Problem je bio u tome što je poslužitelj vraćao previše osjetljivih podataka u jednom odgovoru. Azdoufal je razvio skriptu koja je automatski generirala serijske brojeve. Za svaki ispravan serijski broj, skripta je dobila:
- Potpunu kartu stana u JPEG formatu.
- URL adresu za video prijenos uživo putem WebSocket protokola, bez potrebe za sigurnosnim PIN-om.
- Pristupni token koji je bio valjan 24 sata, nakon čega se automatski obnavljao.
- Informacije o modelu usisivača i verziji njegovog softvera (firmware).
Ovaj proces se mogao lako automatizirati, omogućujući pregled stotina uređaja u samo sat vremena. Sustav nije imao ograničenja na broj zahtjeva s iste IP adrese, što je olakšalo masovno prikupljanje podataka.
Reakcija tvrtke DJI i isplata nagrade
Srećom, Sammy Azdoufal nije iskoristio ovu priliku za zlonamjerne radnje. Odmah je sastavio detaljan izvještaj o pronađenim ranjivostima i poslao ga tvrtki DJI putem njihovog programa za prijavu grešaka. Tri tjedna kasnije, DJI mu je isplatio nagradu od 30.000 američkih dolara. Iako je tvrtka potvrdila isplatu istraživaču za otkrivene ranjivosti, u službenom priopćenju nisu naveli Azdoufalovo ime niti specifične probleme koji su bili obuhvaćeni nagradom. DJI je izjavio: “Potvrdili smo ranjivost u starijoj verziji softvera i ispravili je ažuriranjem koje se automatski distribuira od 15. ožujka.”
Unatoč brzoj reakciji tvrtke, istraživanja su pokazala da su ažuriranja
