DJI
Iemand kreeg per ongeluk toegang tot duizenden slimme stofzuigers wereldwijd
Een ontwikkelaar die zijn robotstofzuiger met een gamecontroller wilde besturen kreeg plots toegang tot duizenden apparaten wereldwijd.
Wat begon als een speels experiment, legt nu een fundamenteel probleem bloot in de beveiliging van slimme huishoudtechnologie, vooral bij slimme stofzuigers. Sammy Azdoufal wilde naar eigen zeggen niets hacken; hij probeerde alleen zijn nieuwe robotstofzuiger van DJI met een PlayStation-controller te besturen. Maar toen zijn zelfgebouwde app verbinding maakte met de servers van het bedrijf, reageerde niet alleen zijn eigen stofzuiger, maar ook duizenden anderen. Ongeveer 7000 slimme stofzuigers in totaal.
Camerabeelden bekijken, woningen in kaart brengen
Via die verbinding kon hij apparaten op afstand aansturen, live camerabeelden bekijken en zien hoe woningen in kaart werden gebracht. In enkele minuten verschenen duizenden robots uit tientallen landen op een wereldkaart, die voortdurend gegevens terugstuurden. Denk aan serienummers, batterijstatus van de stofzuiger, schoonmaakroutes en obstakels in huis.
Een techjournalist van The Verge zag het met eigen ogen gebeuren. Met alleen een serienummer kon Azdoufal exact volgen waar een apparaat zich bevond, hoeveel batterij het had en hoe de plattegrond van de woning eruitzag. Dat riep direct de vraag op of hier sprake was van een structureel beveiligingslek.
Geen hack, maar hoe kan dat?
Volgens Azdoufal hoefde hij niets te kraken. Door het toegangstoken van zijn eigen apparaat te gebruiken kreeg hij automatisch gegevens van duizenden andere gebruikers. Dat wees weer op ontbrekende toegangscontrole in de backend van het systeem, niet op een klassieke hack.
Na melding werd een deel van de kwetsbaarheid snel opgelost. Kort daarna verdween de toegang volledig. Toch bleef de vraag steken: hoe kon één gebruiker überhaupt zoveel apparaten zien? En als dit zonder kwade bedoelingen lukt, wat kan iemand met slechte intenties dan doen?Beveiligingsexperts benadrukken dat versleuteling alleen het transport van de data naar een Amerikaanse server, bijvoorbeeld, beschermt, niet de server zelf. Volgens onderzoeker Kevin Finisterre biedt opslag in Amerikaanse cloudservers geen garantie dat onbevoegden geen toegang krijgen tot de gegevens.
Probleem opgelost
DJI stelt dat het probleem inmiddels is opgelost en dat misbruik zeldzaam was. Maar transparantie over wat er precies misging blijft beperkt. Daarmee raakt deze zaak aan een grotere discussie: hoeveel vertrouwen verdienen apparaten die letterlijk door onze woonkamers rijden, kijken en luisteren?
Ironisch genoeg werkte Azdouflas oorspronkelijke doel wél. Zijn robotstofzuiger laat zich nu probleemloos besturen met een gamecontroller.