Robot DJI Romo, falla grave: accesso a migliaia di case

DJI Romo robot aspirapolvere: scoperta una grave falla di sicurezza

Brutte notizie per tutti i possessori del robot aspirapolvere DJI Romo.

Una vulnerabilità nei server cloud di DJI Romo, il robot aspirapolvere dell’azienda leader nei droni, ha permesso a un ricercatore di accedere da remoto a migliaia di dispositivi nel mondo. Il caso solleva seri dubbi sulla sicurezza dei robot smart home connessi a Internet.

Ecco tutti i dettagli.

Da un test con il controller PS5 a 7.000 robot visibili

Sammy Azdoufal stava cercando di controllare il suo DJI Romo con un gamepad PlayStation 5. Per farlo ha analizzato il funzionamento dell’app DJI Home ed estratto il token privato del suo dispositivo.

Quando il suo software ha iniziato a comunicare con i server DJI, non ha risposto solo il suo robot: circa 7.000 dispositivi in 24 Paesi hanno iniziato a inviare dati.

In soli 9 minuti sono stati rilevati circa 6.700 robot con oltre 100.000 messaggi di telemetria, tra cui:

• Numero di serie

• Stato della pulizia

• Livello batteria

• Percorso e ostacoli

• Mappe 2D complete dell’abitazione

Coinvolte anche le DJI Power Station, portando il totale oltre 10.000 dispositivi visibili.

Il problema tecnico: autenticato sì, autorizzato no

I robot comunicano con il cloud tramite protocollo MQTT, molto usato nell’IoT.

Il server verificava che l’utente fosse autenticato (token valido), ma non controllava correttamente se fosse autorizzato ad accedere a quello specifico robot.

Bastava modificare il numero di serie (14 cifre) per accedere ai topic di altri dispositivi. I seriali risultavano anche progressivi, rendendo il problema più serio.

Il punto più delicato: mappe, telecamera e microfono

DJI Romo integra:

• Telecamera

• Sensori LiDAR

• Microfono

Secondo quanto riportato, accedendo direttamente via MQTT si poteva ottenere lo stream video H.264 senza che venisse richiesto il PIN impostato nell’app, perché il controllo avveniva solo lato applicazione e non lato backend.

Il problema quindi non era un attacco sofisticato, ma una configurazione errata dei controlli di accesso sul server.

La risposta di DJI

DJI ha dichiarato di aver corretto la vulnerabilità con due aggiornamenti cloud-side (8 e 10 febbraio), senza necessità di update firmware.

L’azienda ha parlato di una “backend permission validation issue” nel sistema MQTT e ha specificato che:

• I dati erano protetti con TLS

• I server europei si appoggiano a AWS negli Stati Uniti

Dopo l’intervento, lo scanner non vedeva più dispositivi. Tuttavia restano segnalazioni di vulnerabilità minori ancora presenti.

Perché questa storia è importante

Il caso DJI Romo riapre una domanda fondamentale: quanto sono sicuri i dispositivi con telecamera e microfono che abbiamo in casa?

Un robot aspirapolvere moderno non è solo un elettrodomestico, ma un dispositivo che crea:

• Mappe dettagliate delle abitazioni

• Dati sulle abitudini domestiche

• Informazioni tecniche costanti inviate al cloud

Anche se i dati sono ospitati su server sicuri, una configurazione errata dei permessi può compromettere tutto.

Non è un caso isolato

Negli ultimi anni problemi simili hanno coinvolto brand come Ecovacs, Dreame, Narwal, Eufy e Wyze, a dimostrazione che la sicurezza smart home è ancora un punto critico nel settore.

Conclusione

La falla principale nei DJI Romo robot aspirapolvere è stata chiusa, ma il caso dimostra quanto sia delicato l’equilibrio tra innovazione IoT e protezione dei dati personali.

La domanda resta aperta: possiamo davvero fidarci al 100% dei dispositivi connessi che mappano e osservano le nostre case ogni giorno?