Home » News » DJI Romo: un errore permette di controllare i robot a distanza
News

DJI Romo: un errore permette di controllare i robot a distanza

Il DJI Romo finisce sotto i riflettori dopo un bug che ha aperto feed video e mappe domestiche a distanza.

scritto da Rossella Vitale 0 commenti 1 Minuti lettura
DJI Romo: un errore permette di controllare i robot a distanza

La strana e preoccupante vicenda nasce da un tentativo di controllo remoto del DJI Romo tramite gamepad per PlayStation 5. Un ricercatore indipendente, Sammy Azdoufal, aveva estratto il token privato del proprio dispositivo per creare un’app personale. Quando il software ha iniziato a dialogare con i server di DJI, la risposta non si è limitata al robot di casa. Migliaia di unità sparse nel mondo hanno iniziato a trasmettere dati in tempo reale. Secondo quanto riferito ai giornalisti di The Verge, in pochi minuti il computer del ricercatore ha catalogato circa 7.000 robot in 24 Paesi, ricevendo oltre 100.000 messaggi. I pacchetti includevano numeri di serie, stanze in pulizia, mappe 2D, livello di batteria, ostacoli rilevati e comandi di rientro alla base. L’episodio ha mostrato come una semplice richiesta ai server potesse restituire una visione completa dell’attività domestica di dispositivi non associati all’account originale.

Video, mappe e PIN aggirati

La falla non si è fermata ai robot aspirapolvere, la cosa è peggiorata. Includendo le power station DJI Power, i dispositivi visibili hanno superato quota 10.000. Inserendo un numero di serie a 14 cifre, Azdoufal è riuscito a consultare lo stato di un’unità inviata a una redazione per recensione, con mappatura dettagliata dell’abitazione e batteria all’80%. In un altro test ha superato il PIN di sicurezza per accedere al feed video live del proprio DJI Romo. L’accesso, secondo il ricercatore, non ha richiesto intrusioni dirette nei server: le protezioni lato backend risultavano troppo deboli e prive di verifiche incrociate sui token. Il quadro che emerge parla di un sistema capace di riconoscere comandi legittimi senza distinguere l’origine reale della richiesta, trasformando un esperimento privato in una finestra globale sui dati domestici.

DJI ha comunicato di avere corretto il problema prima della divulgazione pubblica, ma durante una dimostrazione l’accesso risultava ancora attivo. Solo il giorno successivo lo scanner del ricercatore ha smesso di individuare dispositivi, segnale di una chiusura della falla principale. Restano però dubbi sulla gestione dei dati. L’accesso ai server statunitensi non impediva tecnicamente consultazioni da altre regioni. Il caso non è a sé, ed è questo che lo rende più “grave”, fa parte infatti di una scia di incidenti che ha coinvolto molti e differenti produttori di smart home come Ecovacs, Dreame, Eufy, Narwal e Wyze.