En omfattande säkerhetsbrist i DJI:s robotdammsugare Romo har gjort det möjligt för en person att fjärransluta till och interagera med tusentals enheter över hela världen, rapporterar The Verge.
Sammy Azdoufal upptäckte sårbarheten i början av 2026 när han försökte styra sin egen DJI Romo med en spelkontroll. Hans hembyggda app började istället prata med DJI:s servrar och fick svar från nästan 7 000 Romo-enheter i 24 länder.
Enligt rapporteringen kunde Azdoufal fjärrstyra robotdammsugarna och ta del av deras aktivitet i realtid. Se live-videoströmmar och mikrofon-ljud från enheterna samt följa kartläggning av hemmiljöer och robotarnas positioner.
Problemet låg i hur DJI:s backend servrar hanterade autentiseringstokens — de godkände en enhets token även för andra enheter, istället för att begränsa åtkomsten till rätt användare. Detta gjorde det möjligt att se data från andra användare utan att knäcka säkerhetsskydd.
DJI uppger att de snabbt påbörjade en korrigering och släppte två uppdateringar i början av februari 2026, och att den sista patchen rullades ut automatiskt till alla servrar den 10 februari. Företaget säger att det inte finns bevis för ett omfattande missbruk utöver säkerhetsforskarnas tester och att kommunikation fortfarande sker över krypterade kanaler.
