Ani Češi mu neunikli: Inženýr hacknul tisíce robotických vysavačů s kamerou a šmíroval lidi doma
Softwarový inženýr z Barcelony získal přístup ke kamerám, mikrofonům a mapám bytů téměř sedmi tisíc robotických vysavačů DJI ROMO ve 24 zemích. Stačil mu k tomu jediný token z vlastního přístroje.
Obsah článku
Sammy Azdoufal chtěl původně jen ovládat svůj nový vysavač Romo P pomocí ovladače od PlayStationu 5. Rozebral komunikaci mezi přístrojem a cloudem DJI Home, vytáhl si vlastní autorizační token a zjistil, že mu server bez mrknutí oka vrací data z tisíců cizích zařízení po celém světě. Živé obrazy z kamer, zvuk z mikrofonů, přesné 2D mapy domácností, stavy úklidu, IP adresy. Žádné lámání hesel, žádný sofistikovaný exploit. Jen špatně nastavená autorizace na straně serveru, která nerozlišovala, kdo se na co ptá. Azdoufal sám říká, že „nic neprolomil“. Problém nebyl v jeho schopnostech, ležel v návrhu backendu.
Co přesně se stalo a proč to bylo tak snadné
Robotické vysavače DJI ROMO komunikují s cloudovou infrastrukturou přes protokol MQTT, běžný standard pro IoT zařízení. Každý vysavač se při připojení autentizuje tokenem. Jenže backend DJI Home neměl dostatečně nastavené takzvané topic-level ACL, tedy přístupové seznamy, které určují, ke kterým datovým kanálům smí konkrétní zařízení přistupovat. Autentizovaný klient tak mohl odebírat zprávy ze zástupných kanálů, tedy prakticky ze všech vysavačů najednou.
Během devítiminutové živé ukázky pro redaktora The Verge naskočilo 6 700 zařízení ve 24 zemích a přes sto tisíc MQTT zpráv. Redaktor Sean Hollister na vlastní oči viděl přesný půdorys domu svého kolegy. U Azdoufalova vlastního vysavače pak i živý video stream, bez nutnosti zadat jakýkoli PIN.
Důležitý detail: kamera v ROMO není jen pasivní navigační senzor. Podle oficiální produktové stránky DJI vysavač podporuje video- i hlasové hovory přes aplikaci DJI Home. Kamera a mikrofon jsou navrženy tak, aby přenášely obraz a zvuk ven z domácnosti. Právě proto byla chyba tak citlivá.
Kde v tom jsou Češi
Řada DJI ROMO se oficiálně prodává v České republice. Český DJI shop nabízí modely ROMO S, A i P jako skladové zboží. Čeští majitelé tedy patřili mezi potenciálně zasažené uživatele, jejich vysavače se připojovaly ke stejné evropské cloudové infrastruktuře, jejíž data Azdoufal viděl.
Konkrétní počet českých domácností, které byly v oněch 6 700 zařízeních zastoupeny, veřejně znám není. The Verge uvádí pouze souhrnné číslo za 24 zemí bez rozpisu. Poctivě řečeno: víme, že čeští majitelé byli v ohrožené skupině. Kolik jich bylo, neví ani DJI, nebo to alespoň nezveřejnilo.
Pikantní je ještě jeden fakt. DJI ve svém stanovisku přiznalo, že data evropských ROMO zařízení jsou ukládána na americké AWS infrastruktuře. Mapa vašeho bytu v Brně nebo Plzni tedy putovala přes Atlantik, a po cestě ji mohl zachytit kdokoli s platným tokenem a znalostí MQTT.
Co DJI udělalo, a co zůstalo otevřené
DJI zareagovalo dvěma automatickými opravami:
- 8. února 2026 — první záplata omezující zástupný přístup k MQTT kanálům.
- 10. února 2026 — druhá záplata zpřísňující autorizaci.
Obě aktualizace proběhly bez nutnosti zásahu uživatele. Kdo měl vysavač připojený k internetu, dostal opravu automaticky. To je dobrá zpráva.
Horší zpráva: Azdoufal i po opravách upozorňoval na přetrvávající dílčí zranitelnosti. Jednou z nich byla možnost sledovat vlastní video stream bez zadání bezpečnostního PINu. Další problém The Verge záměrně nepopsal kvůli jeho závažnosti; k 17. únoru DJI slíbilo opravu „během týdnů“. Oficiální poznámky k vydání z 13. dubna 2026 přidávají „bezpečnostní kód a další nastavení“, zda šlo právě o onu závažnou chybu, ale dokument výslovně neříká.
Azdoufal za své nálezy nakonec dostal od DJI odměnu 30 000 dolarů v rámci oficiálního programu odměn za nalezené chyby. Nebyl potrestán. Byl odměněn.
ROMO není osamocený případ
Kdo si teď říká, že stačí vyměnit značku, měl by vědět, že problém je širší. Společná kontrola jihokorejských úřadů KISA a KCA z roku 2025 odhalila bezpečnostní nedostatky u několika dalších výrobců:
- Dreame X50 Ultra — chyba umožňující náhled do kamery v reálném čase.
- Ecovacs — slabší autentizace.
- Narwal — obdobné problémy s ověřováním.
- Samsung a LG — v témže testu dopadly výrazně lépe.
DJI samo přitom provozuje veřejný Trust Center a u svých dronů buduje narativ kolem offline režimů a nezávislých bezpečnostních auditů. Jenže případ ROMO ukázal, že marketingový rámec důvěry a skutečná implementace autorizace jsou dvě různé věci. Podobný vzorec obav kolem cloudové vrstvy se u DJI opakuje; dřívější analýzy firem Synacktiv a GRIMM odhalily problematické chování aplikace DJI GO 4 pro drony, včetně sběru dat a aktualizací mimo Google Play.
Co může udělat majitel
Zpětně zjistit, zda k vašemu vysavači někdo neoprávněně přistupoval, prakticky nelze. V otevřených zdrojích neexistuje popsaný auditní záznam ani forenzní postup pro koncového uživatele. Preventivně ale smysl dává několik kroků:
- Udržovat firmware aktuální; únorové opravy přišly automaticky, ale budoucí nemusí.
- Nepoužívat funkci videohovorů přes kameru, pokud ji reálně nepotřebujete.
- Zařadit vysavač do oddělené IoT nebo hostovské Wi-Fi sítě.
- Používat silné heslo k účtu DJI Home.
Celý příběh nestojí na šikovnosti jednoho barcelonského inženýra. Stojí na tom, jak tenká je hranice mezi komfortní cloudovou funkcí a domácím dohledem, když výrobce špatně oddělí jedno zařízení od druhého. Azdoufal chtěl hrát s vysavačem přes gamepad. Místo toho se díval do cizích obýváků.