Robotstofzuigers blijven belang Europese wet- en regelgeving aantonen

Al eerder meldden we een incident met robotstofzuigers, waarbij kwaadwillenden gebruik maakten in een gat in de beveiliging van een specifiek model om zo de apparaten op afstand over te kunnen nemen. Dit werd vooral gebruikt voor kattenkwaad - het uitschelden van gebruikers en het achtervolgen van huisdieren. Maar sindsdien zijn er meerdere incidenten met robotstofzuigers geweest die het belang van Europese wet- en regelgeving onderstrepen.



Het begon als een simpel hobbyproject. Sammy Azdoufal wilde kijken of hij zijn nieuwe robotstofzuiger ook kon besturen met een gamecontroller. Hij gebruikte zijn kennis als programmeur om uit te pluizen hoe de robot met de cloud van de producent communiceert. Maar tot zijn verbazing ontdekte hij dat de authenticatie die hem via de servers van de producent met de stofzuiger liet praten hem ook de mogelijkheid gaven om elke andere robotstofzuiger van het model DJI Romo te benaderen. Door het gat in de beveiliging kon hij meekijken en luisteren via de ingebouwde camera's en microfoons, en meekijken in de plattegrondgegevens van andere gebruikers.



Het is niet de eerste keer dat robotstofzuigers digitaal kwetsbaar blijken. De scheldende robotstofzuigers waren slechts een voorbeeld. Een ander voorbeeld is de waarschuwing van de Zuid-Koreaanse evenknie van het Nationaal Cybersecurity Centrum. Deze gaf in september 2025 aan dat ze bij meerdere producenten van robotstofzuigers kwetsbaarheden hadden gevonden. Het ging hierbij zowel om kwetsbaarheden in de aan de stofzuigers gekoppelde apps als in de communicatie met cloudservers.



Maar hoewel producenten het niet altijd even nauw nemen met het beschermen van de privacy van de consument, blijken een aantal van deze bedrijven ook niet blij met klanten die hun privacy in eigen handen nemen. Dat blijkt uit het verhaal van een ingenieur die besloot zijn iLife A11 robotstofzuiger te onderzoeken. Hij ontdekte dat de robotstofzuiger zonder dat hij daar toestemming voor had gegeven constant gegevens over zijn woning naar de server van de producent stuurde. Hij blokkeerde deze constante communicatie van zijn data via zijn router, en vanaf dat moment werkte de stofzuiger niet meer. Verschillende bezoeken aan een service center mochten niet baten. In het service center leek de robotstofzuiger gewoon te werken, maar eenmaal thuis vertikte het apparaat het om te werken.



Uiteindelijk ging hij zelf graven in de soft- en hardware van het apparaat. Hij kon zonder wachtwoord of encryptie toegang krijgen tot het volledige besturingssysteem van het apparaat. Maar met nog dieper graven vond hij de logboeken van de besturingssoftware, en de oorzaak van het niet functioneren: Op het moment dat hij het ongewenst delen van zijn gegevens blokkeert, komt vanuit de server van de producent een opdracht om het apparaat volledig onklaar te maken. Uiteindelijk bouwde hij een eigen besturingssysteem en joystick om zijn stofzuiger zonder externe controle te kunnen gebruiken.



Het zijn problemen die kenmerkend zijn voor het Internet of Things - gaten in de beveiliging, gebrekkige ondersteuning van de producent, rommelig omgaan met privacygevoelige gegevens en het agressief inperken van de mogelijkheden om zelf apparaten te repareren of onderhouden. In alle voorbeelden ging het om robotstofzuigers, maar het zijn problemen die met elke vorm van slimme apparaten voorkomen.



Het is daarom belangrijk dat de Europese Unie collectief een vuist maakt om de rechten van de Europese burger beter te beschermen. Dit gebeurt onder andere door de Cyber Resilience Act, die onder andere voorwaarden stelt aan de beveiliging en ondersteuning van smart devices die door de producent geleverd moet worden, de General Data Protection Regulation, die bepaalt in hoeverre bedrijven uw gegevens mogen gebruiken, en de AI Act, die bepaalt in welke mate kunstmatige intelligentie gebruikt mag worden in de nieuwste generatie slimme apparaten. Deze wet- en regelgeving moet het wettelijke kader voeren waarbinnen Europese consumenten veilig en langdurig gebruik kunnen maken van hun slimme apparaten.

26-02-2026 18:08:22 Spotcatus

Daarom wil ik ook geen slimme thermostaat. Ik kan me zomaar voorstellen dat iemand me hackt en dan de thermostaat op 30 graden zet. Daarna mij laat betalen om ‘m weer vrij te geven. Of erger… Ik heb een nieuwe cv-ketel met een gewone weliswaar digitale maar niet met internet communicerende thermostaat. Wel zo veilig. Ook met beveiligingscamera’s moet je erg uitkijken.

