Když DJI představilo svůj robotický vysavač Romo, vzbudil poměrně hodně zájmu. Mohl za to jak jeho atraktivní design s průhlednými plasty, ale také fakt, že tento vysavač sdílí techniku s drony, což je minimálně marketingově velice zajímavé. Jednu věc však firma podcenila, a to software, zejména v oblasti zabezpečení.
Znepokojivá zpráva staví robotické vysavače Romo společnosti DJI do nepříznivého světla poté, co výzkumník demonstroval něco, co vypadá jako rozsáhlé selhání bezpečnosti. Se správným přístupovým tokenem bylo možné sledovat živý obraz z kamery (a zvuk) z jednotek Romo jiných lidí a dokonce vydávat příkazy k pohybu, čímž se z čisticího robota stal nechtěný vzdálený sledovací terminál.
Hlášený rozsah je přibližně 7 000 zařízení po celém světě, což z tohoto problému činí nejen únik soukromých údajů z jednoho účtu, ale také problém cloudové bezpečnosti na úrovni celé flotily.
Objev je připisován španělskému inženýrovi Sammymu Azdoufalovi (github.com) , který původně nehledal žádnou zranitelnost. Údajně vytvářel aplikaci pro ovládání třetí strany, aby mohl řídit svůj vlastní Romo pomocí gamepadu PS5. Při integraci se službami DJI zjistil, že jeho aplikace není omezena pouze na jeho vysavač – tisíce zařízení ho přijímaly jako autorizovaného klienta. Důležitým rozdílem je, že se nejedná o hack lokální sítě nebo prolomené nastavení Wi-Fi, jak je to v mnoha ostatních případech.
Podstatou je problém s ověřením oprávnění. V praxi to znamená, že šifrování při přenosu může být stále přítomné a správné, ale systém je zranitelný, protože server vrací data, která by neměl. Živé video a audio jsou zřejmá problém, ale citlivé jsou také výstupy mapování (rozložení místností a 2D půdorysy), protože odhalují, jak je dům strukturován a využíván.
Společnost DJI uznala problém s ověřováním oprávnění backendu a uvádí, že náprava byla nasazena automaticky prostřednictvím dvou aktualizací – první opravy 8. února 2026 a druhé aktualizace 10. února 2026 – s cílem zajistit, aby oprava dosáhla všech servisních uzlů. Společnost DJI také uvádí, že problém nebyl způsoben odesíláním nešifrovaného provozu, a tvrdí, že TLS bylo vždy v provozu. Společnost dále naznačuje, že potvrzené zneužití bylo vzácné a do značné míry souviselo s testováním vlastních zařízení.
