Amb un únic token, va poder accedir a les transmissions de les càmeres i micròfons, com també als plànols de les estades recorregudes pels robots.

Un pirateig innocent i casolà d’un enginyer de programari per connectar el seu robot aspirador DJI Romo a un comandament de la seva PS5 ha revelat una bretxa de seguretat important del fabricant xinès DJI. 

Tot va començar quan Sammy Azdoufal va fer servir un assistent de programació d’intel·ligència artificial per fer enginyeria inversa sobre com es comunicava el robot amb els servidors remots al núvol de DJI. 

L’enginyer va fer servir Claude Code per crear una aplicació personalitzada que establís comunicació amb l’API (interfície de programació d’aplicacions) de la marca.

Tot i això, Azdoufal va veure que les mateixes credencials que li permetien visualitzar i controlar el seu propi dispositiu també li donaven accés a les transmissions en directe de les càmeres, àudio del micròfon, mapes i dades d’estat de prop de 7.000 aspiradores a més de 24 països. És a dir, un sol token li va valer per accedir a milers de robots en menys de 10 minuts. 

El seu pirateig involuntari li facilitava consultar informació detallada, com ara el número de sèrie de cada aparell, els mapes dels espais que havien recorregut, els obstacles que es van trobar al seu camí i fins i tot una ubicació aproximada mitjançant adreces IP. 

Eines de vigilància massiva

L’home va contactar ràpidament amb el fabricant per informar-los sobre la seva falla i DJI va resoldre la bretxa en només dos dies. 

«DJI va identificar una vulnerabilitat que afectava DJI Home mitjançant una revisió interna a finals de gener i va iniciar la correcció immediatament. El problema es va solucionar mitjançant dues actualitzacions: un pedaç inicial implementat el 8 de febrer i una actualització de seguiment completada el 10 de febrer. La correcció es va implementar automàticament i no requereix intervenció de l’usuari» ha comentat la companyia asiàtica a Popular Science mitjançant un comunicat. 

Tot i això, aquest problema, en males mans, podria haver convertit electrodomèstics en eines de vigilància massiva sense que els seus propietaris en fossin conscients. Aquest cas posa de manifest un problema del qual s’alerta des de fa molts anys: la inseguretat de molts dispositius IoT.

Aquí parlem que el DJI Romo és la primera temptativa de la firma asiàtica -coneguda pels seus drons i estabilitzadors Osmo- al mercat dels robots domèstics, cosa que porta a pensar en certa distracció o inexperiència per part del fabricant. 

A més, la inseguretat dels dispositius IOT es podria veure agreujada per l’arribada de més i més robots domèstics (inclosos els models humanoides). Que qualsevol sense gaires coneixements tècnics pugui fer servir la IA per trastejar amb aquest tipus de vulnerabilitats també amplia la superfície dels atacs.