De Spaanse programmeur Sammy Azdoufal wilde zijn robotstofzuiger thuis met de hand kunnen bedienen. Met de software die hij daarvoor schreef, bleek hij per ongeluk zevenduizend Romo-robots wereldwijd in beweging te brengen.
is nieuwsverslaggever van de Volkskrant.
De Spanjaard stuitte bij toeval op een zwakke plek in de beveiliging van de Romo-stofzuigerrobot van DJI, een Chinese onderneming die vooral bekend is als de grootste producent van consumentendrones. Azdoufal kon binnengluren in duizenden huiskamers, gesprekken afluisteren via microfoons die zijn bedoeld om stemcommando’s op te pikken en bij benadering de locaties van de stofzuigerrobots achterhalen.
‘Huishoudelijke’ apparaten voor consumenten met een internetverbinding, aangeduid als smart home-producten, zijn al langer een bron van zorg. Al deze apparaten hebben een verbinding met internet, maar vaak rammelt de beveiliging. Ze worden geleverd met een vast standaardwachtwoord of met een ontbrekende of zwakke versleuteling van de gegevens die het internet overgaan.
Het probleem zit hem niet altijd in de apparaten, waarschuwden onderzoekers van de Universiteit Twente twee jaar geleden, maar vaak ook in de software die op internetservers staat. Die software maakt de communicatie mogelijk tussen de apparaten en de fabrikanten en met de app op de telefoon van de consument. Dat is precies de achilleshiel waar Azdoufal op stuitte.
‘We vonden zestienduizend systemen die standaard niet veilig stonden ingesteld en veel te veel toegang mogelijk maakten’, zegt universitair hoofddocent Jeroen van der Ham-de Vos. De onderzoekers seinden de fabrikanten in, maar zagen enkele maanden later dat driekwart niets met hun melding had gedaan.
Dat gaat wel veranderen, denkt Van der Ham-de Vos. Dit jaar moeten fabrikanten gaan voldoen aan de eerste vereisten van een nieuwe Europese richtlijn, die smart home-producten weerbaarder moeten maken tegen hackers. Vanaf 11 december 2027 moeten alle producten met digitale elementen als inherent veilig ontworpen en geproduceerd zijn. ‘De Rijksinspectie Digitale Infrastructuur gaat daar scherper op toezien en kan ook boetes uitdelen’, zegt Van der Ham-de Vos.
Voor Sammy Azdoufal begon het als een lolletje. Hij wilde kijken of hij zijn stofzuiger thuis ook kon bedienen met een PlayStation-controller, de afstandsbediening voor de spelcomputer van Sony. Daarvoor riep de Spanjaard de hulp in van Claude Code, een programma dat met behulp van kunstmatige intelligentie (AI) software schrijft. Claude Code bouwde een aangepaste app.
Toen Azdoufal daarmee een verbinding probeerde te leggen tussen het PlayStation-stuurtje en zijn eigen robotstofzuiger, bleek hij niet alleen in te loggen op zijn Romo thuis, maar ook bij meer dan zevenduizend andere Romo’s in 24 landen. Hij hoefde daarvoor niets te hacken, vertelt Azdoufal in een interview met techwebsite The Verge.
De zuigende automaten meldden elke drie seconden hun serienummer, in welke kamer ze bezig waren, hoeveel stroom er nog in hun accu’s zat en welke obstakels ze onderweg waren tegengekomen. De Spanjaard kon ook plattegronden van kamers laten maken en bij benadering de locatie van de huizen bepalen. Nadat The Verge over Azdoufals vondst had bericht, heeft DJI het beveiligingslek gedicht.
Het is niet de eerste keer dat hackers een robotstofzuiger op afstand kapen. In 2024 merkten eigenaren van een eveneens Chinese Deebot X2 dat hun apparaten plotseling begonnen te vloeken en hun huisdieren op te jagen. Dat leek het werk van een enkele hacker die volgens fabrikant Ecovacs de inloggegevens van de gedupeerden moet hebben achterhaald.
Intussen worden robotstofzuigers steeds populairder. Dat geldt ook voor andere smart home-toestellen als bewakingscamera’s en babycams, slimme speakers of slimme verlichting. Van de 8,4 miljoen huishoudens in Nederland bezit meer dan de helft over smart home-producten, meldt marktvorser Telecompaper. Het gemiddelde Nederlandse gezin heeft vijf van dit soort toestellen in huis, en een vijfde zelfs zeven of meer.
Geselecteerd door de redactie
Source: Volkskrant