Man behöver inte ha ett hem fullproppat med avancerade prylar för att vara beroende av molnet. Det räcker med en uppkopplad robotdammsugare för att delar av din mest privata information ska passera genom externa servrar och bli hanterbar från vilken plats som helst på jorden. Denna modell har blivit vår nya normalitet – en bekvämlighet som vi lärt oss att lita på. Men när den där normaliteten spricker, uppstår en iskall fråga: vem mer än du har tillgång till ditt hem?
Detta scenario blev verklighet efter en rapport från en amerikansk teknikpublikation gällande DJI ROMO. En användare hävdade att han hade fått obehindrad tillgång till data och aktivitet från tusentals enheter världen över, långt innan problemet lyckades åtgärdas.
Nyfikenheten som blev en risk
Historien tar sin början i något betydligt mer trivialt än man kan föreställa sig. Sammy Azdoufal, AI-strategichef på ett företag inom semesteruthyrning, ville bara styra sin egen DJI ROMO med en PS5-kontroll. Varför? ”För att det var kul”, förklarade han för The Verge. För att lyckas med detta utvecklade han en egen applikation som började kommunicera med DJI:s servrar. Men det oväntade hände: det var inte bara hans egen dammsugare som svarade.
Istället för en enda enhet började tusentals apparater dyka upp på hans skärm. De var utspridda över olika länder och alla kände igen honom som om han vore deras rättmätiga ägare. Det som började som en lekfull hobby förvandlades snabbt till en oroande insikt om hur skör den digitala säkerheten kan vara.
Vad som faktiskt kunde ses och kontrolleras
Det som följde därefter förändrade tonen i historien helt. Under en livesänd demonstration visade Azdoufal hur hans verktyg detekterade enheter i realtid. På bara nio minuter hade han katalogiserat 6 700 robotar i 24 olika länder och samlat in över 100 000 meddelanden som skickats från dem. Varje maskin rapporterade information var femte sekund via ett protokoll kallat MQTT, vilket är standard för uppkopplade enheter.
Datan var detaljerad och avslöjande:
- Enhetens unika serienummer.
- Vilket specifikt rum som städades för tillfället.
- Hur långt roboten hade färdats under sitt pass.
- Exakt när den var på väg tillbaka till sin laddningsstation.
Enligt Azdoufal krävdes ingen traditionell ”hacking” av företagets servrar. Han analyserade helt enkelt hur hans egen enhet kommunicerade med infrastrukturen och extraherade den privata säkerhetsnyckeln (token) som var kopplad till hans maskin. Genom att använda AI-verktyget Claude Code som stöd för reverse engineering, lyckades han dechiffrera protokollen. Problemet var att när han väl var autentiserad som en giltig kund, satte servrarna inga gränser för vilka andra enheters meddelanden han kunde prenumerera på.
Företagets svar och den större debatten
DJI har gått ut med en officiell förklaring där de hävdar att sårbarheten upptäcktes genom en intern översyn i slutet av januari. De uppger att en första säkerhetspatch rullades ut den 8 februari, följt av en uppdatering den 10 februari för att täcka alla noder. Företaget medger att det rörde sig om ett ”valideringsproblem i backend” gällande MQTT-kommunikationen, men betonar att obehörig åtkomst var ”extremt sällsynt”.
Händelsen väcker dock djupare frågor om hur dessa system revideras innan de når marknaden. Vi talar inte om vilken hushållsapparat som helst, utan om enheter utrustade med sensorer, kameror och mikrofoner som ständigt är uppkopplade i hjärtat av våra hem. Azdoufal själv ifrågasatte varför en dammsugare överhuvudtaget behöver en mikrofon. För DJI, som länge dominerat luftrummet med sina drönare, innebär steget in i hemmet med DJI ROMO ett nytt ansvar – där säkerhet inte bara är en funktion, utan en absolut nödvändighet för att bevara användarnas förtroende.
