Inženýr ovládl 7 000 vysavačů DJI Romo ve 24 zemích: Měl přístup ke kamerám, mikrofonům i mapám domácností

Robotický vysavač, který jezdí po bytě a mapuje si každý kout, je pro spoustu lidí praktický pomocník. Co kdyby ale někdo cizí mohl přes ten samý přístroj nahlížet do vašeho obýváku, poslouchat vaše rozhovory a zjistit, kde bydlíte? Přesně to se stalo, i když naštěstí tomu, kdo to nechtěl zneužít.

Chtěl si jen hrát s vysavačem

Celý příběh začal nevinně. Softwarový inženýr Sammy Azdoufal si koupil robotický vysavač DJI Romo a napadlo ho, že by bylo zábavné ovládat ho ovladačem od herní konzole PlayStation 5. Představte si to jako řízení autíčka na dálkové ovládání, které vám přitom uklidí byt.

K tomu potřeboval pochopit, jak vysavač komunikuje se servery výrobce. Pomocí nástroje využívajícího umělou inteligenci rozebral komunikační protokol aplikace DJI. Jenže výsledek ho zaskočil mnohem víc, než čekal.

Oči a uši v tisících bytů

Místo přístupu ke svému jedinému vysavači se Azdoufal ocitl v situaci, kdy jeho aplikace komunikovala s téměř sedmi tisíci robotických vysavačů ve 24 zemích po celém světě. Od Spojených států přes Evropu až po Čínu.

Co všechno mohl díky tomu vidět? Živé záběry z kamer, které vysavače používají k orientaci v prostoru. Mohl zapnout mikrofon a slyšet, o čem se lidé doma baví. K dispozici měl také podrobné mapy bytů, které si přístroje při úklidu vytvářejí. Pomocí IP adres dokázal navíc odhadnout přibližnou polohu každé domácnosti.

Odebírejte náš 🚨 Spotřebitelský radar

Exkluzivní obsah, slevy, soutěže, testy a výhodné nabídky. Vybráno naší redakcí, každý den na váš e-mail. Pro první odběratele zdarma, využijte toho!

Odebírat

Posíláme jen to, co stojí za to. Řídíme se zásadami ochrany soukromí.

Díky, že čtete arecenze.cz

Jsme tým nadšenců, kteří tvoří obsah o všem, co má přímý dopad na peněženku nebo praktický život běžného Čecha — co koupit, jak ušetřit, čemu se vyhnout a kolik zaplatíte.

Klikněte a odebírejte naše články z boxíku na domovské stránce Seznam.cz

Sám přitom zdůraznil, že neprolamoval žádné zabezpečení. Jednoduše si vyžádal přístupový klíč ke svému vlastnímu přístroji a systém mu bez dalšího ověření otevřel dveře ke všem ostatním.

Řada DJI romo na českém trhu:

Foto: Oficiální materiály distributora

DJI Romo S

od 32 000 Kč – Základní model řady Romo, stejný výkon 25 000 Pa i navigace jako dražší varianty, jen v klasickém bílém provedení

Prohlédnout produkty

Foto: Oficiální materiály distributora

DJI Romo A

od 36 620 Kč – Střední model s průhledným horním krytem vysavače a samočisticí stanicí

Prohlédnout produkty

Foto: Oficiální materiály distributora

DJI Romo P

od 44 259 Kč – Vlajkový model s plně průhledným designem vysavače i dokovací stanice, nejbohatší výbava

Prohlédnout produkty

Nikdo nic neprolamoval, chyba byla v systému

Nikdo nemusel nic prolamovat. Celý problém tkvěl v tom, jak DJI svůj systém navrhl. Ověřovací klíč, který měl být svázaný s jedním konkrétním přístrojem, ve skutečnosti otevíral přístup ke všem vysavačům značky.

K tomu navíc přibyl další nepříjemný detail. Přestože komunikace mezi vysavačem a serverem probíhala šifrovaně, samotná data na serverech už ležela v otevřené podobě, bez jakéhokoliv dalšího zabezpečení. Kdokoliv, kdo by se na server dostal, si je mohl jednoduše přečíst.

Co na to výrobce

Azdoufal se rozhodl chybu nezneužít a se svými zjištěními se obrátil na redakci amerického technologického webu The Verge, která kontaktovala DJI. Firma nejprve tvrdila, že problém je již vyřešen, ale Azdoufal vzápětí živě demonstroval, že přístup k vysavačům stále funguje. DJI poté v únoru 2026 vydalo dvě opravné aktualizace (8. a 10. února), které nevyžadovaly žádný zásah ze strany uživatelů. Hlavní bezpečnostní mezera tak byla zacelena.

Jenže příběh tím nekončí. Podle Azdoufala přetrvávají další slabiny, které firma dosud neopravila. Jednou z nich je možnost sledovat obraz z kamery vysavače, aniž by bylo nutné zadat bezpečnostní PIN. Na podrobnosti o dalších nedostatcích odmítl upozornit veřejně kvůli jejich závažnosti.

Co z toho plyne pro každého, kdo má doma chytrý spotřebič

Celý incident je připomínkou, že robotický vysavač dávno není jen „věc, co vysává“. Je to přístroj vybavený kamerou, mikrofonem a schopností zmapovat celý byt. Podobná výbava se přitom objevuje i v dalších domácích zařízeních, od chytrých reproduktorů po bezpečnostní kamery.

Když si takový přístroj pořizujete, stojí za to zamyslet se nad tím, kolik informací o vašem domově vlastně sbírá a kam je posílá. Pokud výrobce nezvládne základní zabezpečení, může se z praktického pomocníka stát okno do vašeho soukromí, aniž byste o tom věděli.

Zdroje: Autorský text, https://insmart.cz/videl-videa-z-cizich-domacnosti-a-moje-je-i-ovladat-uzivatel-omylem-ziskal-pristup-k-tisicum-robotickych-vysavacu-dji/, https://smartmania.cz/skandal-u-dji-majitel-vysavace-omylem-smiroval-tisice-domacnosti/, https://www.cnews.cz/clanky/chtel-ovladat-svuj-roboticky-vysavac-gamepadem-misto-toho-ziskal-pristup-k-tisicum-domacnosti-po-celem-svete/, https://www.theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt, https://www.popsci.com/technology/robot-vacuum-army/, https://www.malwarebytes.com/blog/news/2026/02/hobby-coder-accidentally-creates-vacuum-robot-army, https://www.novinky.cz/clanek/internet-a-pc-inzenyr-se-napichl-na-vysavace-tisicovek-domacnosti-mohl-lidi-smirovat-i-odposlouchavat-40564136