Inżynier przypadkiem przejął 7 tys. robotów‑odkurzaczy. Co widziały kamery?

Niepozorny projekt domowego majsterkowania z robotem‑odkurzaczem zamienił się w globalny alarm dotyczący prywatności i bezpieczeństwa danych.

Inżynier chciał tylko sterować swoim robotem sprzątającym za pomocą pada od konsoli. Zamiast wygodnej zabawy odkrył, że zdalnie może podglądać tysiące cudzych mieszkań na żywo – wraz z dźwiękiem i szczegółowymi mapami wnętrz.

Jak jedno hobby dało dostęp do tysięcy mieszkań

Za historią stoi inżynier Sammy Azdoufal. Kupił robota‑odkurzacz DJI Romo i wpadł na pomysł, żeby sterować nim padem, jak w grze. Napisał więc własną aplikację i posłużył się asystentem kodowania wykorzystującym AI, żeby zrozumieć, jak urządzenie łączy się z chmurą producenta.

W trakcie analizy natrafił na błąd w sposobie uwierzytelniania. Dane dostępowe generowane dla jego własnego odkurzacza otwierały drzwi nie tylko do jednego sprzętu, lecz do całej puli urządzeń podpiętych do tej samej usługi w chmurze.

Z jednego konta mógł podejrzeć dane blisko 7 tys. robotów sprzątających w 24 krajach: obraz na żywo, dźwięk, mapy mieszkań i historię pracy.

W praktyce oznaczało to możliwość zdalnego „wejścia” do cudzych salonów, sypialni czy korytarzy. Roboty Romo wyposażone są w kamery, mikrofony oraz system tworzenia dokładnej mapy mieszkania. Wszystko to okazało się w zasięgu jednego inżyniera – bez wiedzy właścicieli sprzętów.

Co dokładnie mógł zobaczyć atakujący

Odkryta luka nie ograniczała się tylko do technicznych parametrów urządzeń. Zgodnie z opisem Azdoufala możliwe było przejęcie bardzo wrażliwych informacji.

• Podgląd obrazu z kamer w czasie rzeczywistym.
• Nasłuch z wbudowanych mikrofonów.
• Dostęp do szczegółowych map mieszkań – pokój po pokoju.
• Historii sprzątania, czyli czasu obecności domowników.

Takie dane stanowią złoto dla przestępców. Dokładny plan mieszkania ułatwia zaplanowanie włamania. Obraz i dźwięk pozwalają ustalić, kiedy mieszkańcy wychodzą, czy w domu są dzieci, gdzie stoją cenne przedmioty. W skrajnych przypadkach można by próbować szantażu, bazując na przypadkowo nagranych, intymnych sytuacjach.

Jak zareagował producent robota

Azduofal nie próbował zarabiać na luce ani jej wykorzystywać. Zgłosił problem mediom technologicznym. Dziennikarze z redakcji The Verge skontaktowali się następnie z firmą DJI, która odpowiada za odkurzacz Romo.

DJI przekazało, że błąd wykryto także podczas wewnętrznej kontroli bezpieczeństwa i szybko wprowadzono poprawki. Naprawa trafiła do użytkowników w formie dwóch aktualizacji systemu na początku lutego. Według firmy klienci nie musieli niczego ręcznie zmieniać – wystarczył automatyczny update.

Producent zapewnia, że luka została usunięta, a proces logowania do chmury uszczelniono tak, by jedno konto nie dawało dostępu do cudzych urządzeń.

Nie ma informacji o tym, by ktoś poza inżynierem zdążył wykorzystać błąd na masową skalę. Eksperci podkreślają jednak, że sama możliwość tak szerokiego dostępu do domów pokazuje kruchość ochrony prywatności w epoce hiperpołączonych sprzętów.

Dlaczego roboty‑odkurzacze są tak wrażliwe

Domowa mapa jako potencjalne narzędzie włamywaczy

Roboty sprzątające nowej generacji, takie jak DJI Romo, to w praktyce mobilne czujniki z kołami. Korzystają z kamer, lidarów i szeregu innych sensorów, żeby stworzyć szczegółowy plan mieszkania. Taka mapa ułatwia sprzątanie, ale jednocześnie opisuje rozkład domu od kuchni.

Dla włamywacza to gotowy szkic: gdzie są drzwi, gdzie stoją meble, którędy najłatwiej dojść do sypialni czy domowego biura, czy w mieszkaniu są ślepe zaułki bez kamer. W połączeniu z harmonogramem sprzątania można też wywnioskować, kiedy dom zazwyczaj stoi pusty.

Chmura producenta jako słaby punkt

Większość takich urządzeń wysyła przynajmniej część danych do serwerów producenta. W chmurze lądują plany pomieszczeń, logi z pracy urządzenia, czasem także obraz do funkcji „podgląd domu”. To daje wygodę: użytkownik widzi, co dzieje się w mieszkaniu z aplikacji na telefonie.

Ta sama wygoda tworzy jednak nowe pole ataku. Wystarczy jeden błąd w uwierzytelnianiu albo źle skonfigurowany serwer, żeby ktoś z zewnątrz przejął masowy dostęp do setek czy tysięcy sprzętów.

AI przyspiesza szukanie dziur w domowych sprzętach

Całą historię wyróżnia jeszcze jeden element: inżynier przyznaje, że w analizie komunikacji robota z chmurą korzystał z asystenta kodowania opartego na AI. Tego typu narzędzia pomagają pisać skrypty, odszyfrowywać protokoły i szybciej zrozumieć, jak działa oprogramowanie sprzętu.

To, co dla hobbysty jest ułatwieniem, dla cyberprzestępców może stać się potężnym narzędziem przyspieszającym szukanie słabych punktów w inteligentnych urządzeniach. Szczególnie gdy mowa o tanich gadżetach, gdzie producenci rzadko inwestują poważnie w bezpieczeństwo.

Politycy patrzą na zagranicznych producentów z rosnącą nieufnością

W Stanach Zjednoczonych część polityków od lat ostrzega przed ryzykiem związanym z urządzeniami firm technologicznych spoza kraju. Obawy dotyczą nie tylko robotów sprzątających, ale też kamer domowych, wideodomofonów, inteligentnych głośników, a nawet smart telewizorów.

Chodzi o scenariusz, w którym zagraniczny producent – dobrowolnie lub pod presją swojego rządu – mógłby wykorzystać dane z domowych sprzętów do masowego szpiegowania. Na razie nie pojawiły się twarde dowody na takie działania w przypadku robotów‑odkurzaczy, temat wciąż jednak wraca w debatach o regulacjach dotyczących IoT.

Co może zrobić zwykły użytkownik

Uciec się od elektroniki we własnym mieszkaniu jest dziś trudno. Wiele osób i tak kupuje inteligentne urządzenia dla wygody. Da się jednak znacząco zmniejszyć ryzyko, że ktoś przez nie zajrzy nam do salonu.

• Wyłączenie zdalnego podglądu z kamer, jeśli nie jest potrzebny.
• Regularne aktualizowanie aplikacji i oprogramowania robota.
• Stosowanie unikalnych, długich haseł do kont producenta.
• Dzielenie sieci domowej na osobne Wi‑Fi dla sprzętów IoT.
• Ograniczenie liczby urządzeń z kamerą w sypialni czy pokoju dzieci.

Warto też w ustawieniach sprawdzić, jakie dane urządzenie wysyła do chmury i na co wyrażamy zgodę podczas pierwszej konfiguracji. Część funkcji, takich jak szczegółowe mapy czy przechowywanie nagrań online, można wyłączyć, nie tracąc najważniejszych możliwości robota.

Dom coraz bardziej przypomina sieć komputerową

Historia z DJI Romo to tylko jeden przykład rosnącej podatności mieszkań na ataki cyfrowe. Jeszcze dekadę temu w typowym domu do internetu podłączony był głównie komputer i telefon. Dziś są to też odkurzacze, pralki, lodówki, zamki do drzwi, lampy, klimatyzacja.

Każdy z tych elementów ma własne oprogramowanie, serwery w tle i często – bardzo różny poziom zabezpieczeń. Awaria czy błąd nie zawsze kończy się katastrofą, ale wystarczy jeden przypadek masowego podglądu, żeby zaufanie użytkowników spadło dramatycznie.

Dobrze traktować wszystkie inteligentne urządzenia jak miniaturowe komputery z kołami, kamerą lub mikrofonem. Wygoda zdalnego sterowania bywa kusząca, lecz za każdym razem oznacza też potencjalne „okno” do naszego mieszkania, które ktoś po drugiej stronie sieci chętnie spróbuje uchylić jeszcze szerzej.