Un ingeniero de software, Sammy Azdoufal, logró controlar más de 7,000 robots aspiradores, accediendo a sus cámaras y planos de hogares en más de veinte países. Su aventura comenzó al intentar manejar su aspiradora DJI Romo con un control de PS5, lo que lo llevó a descubrir una grave vulnerabilidad de seguridad.
El acceso no autorizado se produjo tras que su aplicación, creada con la ayuda de Claude Code, comenzara a recopilar números de serie de los robots que se comunicaban con la base de datos de la compañía. Esto le permitió activar cámaras y micrófonos, además de reconstruir planos de 2D de las casas de los propietarios. Cada 3 segundos, los dispositivos enviaban información sobre su ruta de limpieza y obstáculos encontrados.
Tras ser contactados por Azdoufal, DJI emitió un parche para corregir la vulnerabilidad en cuestión de días. Un portavoz de la empresa reconoció un problema de validación de permisos en la comunicación MQTT entre el dispositivo y el servidor, que permitía el acceso no autorizado a las transmisiones de video. A pesar de esto, Azdoufal ha señalado que algunas vulnerabilidades aún no han sido solucionadas y que la compañía se ha comprometido a abordar estos problemas en las próximas semanas.