El aspirador DJI ROMO P. - DJI
MADRID, 16 Feb. (Portaltic/EP) -
DJI ha solucionado un fallo de seguridad identificado en sus nuevos robots aspiradores DJI ROMO P, que permitía controlar a distancia alrededor de 7.000 aspiradores a nivel global, así como acceder a su cámara y micrófonos en tiempo real.
La tecnológica presentó su serie de robots aspiradores ROMO en octubre del pasado año. Disponibles en tres configuraciones, esta serie cuenta con función de fregado y emplea la tecnología de los conocidos drones de la marca para detectar con precisión los obstáculos y trazar rutas de limpieza.
Entre los distintos modelos de la nueva serie, el ROMO P es el más avanzado, con un compartimento adicional para el desodorizante para pisos y un diseño llamativo debido a su estación de carga transparente, disponible desde 1.899 euros.
Sin embargo, los nuevos ROMO no solo han destacado solo por su diseño y capacidades, sino que también han sido objeto de investigación debido a un fallo de seguridad, identificado por accidente, que permitía controlar de forma remota miles de aspiradores, así como acceder a su cámara y micrófonos.
Este fallo ha sido identificado por el director de estrategia de Inteligencia Artificial (IA) en la empresa de alquiler de viviendas Emerald Stay y desarrollador de aplicaciones, Sammy Azdoufal, quien, tras intentar controlar a distancia su nueva aspiradora DJI ROMO con un mando de PS5 "por diversión", consiguió comunicarse con los servidores de la compañía y, con ello, acceder a miles de robots aspiradores a nivel global.
Concretamente, Azdoufal creó una aplicación de mando a distancia utilizando el asistente de IA Claude Code que, al intentar comunicarse con su aspirador mediante ingeniería inversa de los protocolos de DJI, recibió respuesta de aproximadamente 7.000 aspiradores a nivel global.
A través de esta aplicación, no solo podía controlar todos los aspiradores que respondían a distancia, sino que también podía acceder a las cámaras para ver las imágenes captadas y acceder a los micrófonos en directo.
Así lo ha compartido The Verge, quien ha recogido la investigación del desarrollador y ha comprobado la veracidad de la vulnerabilidad poniendo en práctica el control remoto de un aspirador DJI ROMO de un periodista del citado medio, que Azdoufal pudo controlar desde Barcelona utilizando únicamente su número de serie.
Tanto es así, que el desarrollador mostró al medio en cuestión cómo podía mapear cada habitación de una casa generando un plano 2 D, así como usar la dirección IP de cualquier robot para encontrar su ubicación aproximada. También podía acceder al número de serie de cada robot, qué habitaciones estaba limpiando, el nivel de batería o los obstáculos encontrados por el camino.
En total, Azdoufal consiguió tener acceso a 10.000 dispositivos en 24 países diferentes. Asimismo, afirma que para ello, no ha infringido ninguna regla. "No salté, cedí, ni fui a la fuerza bruta", ha sentenciado el desarrollador, alegando que simplemente extrajo el token privado de su propio aspirador DJI ROMO -esto es, la clave que indica a los servidores de DJI que un usuario tiene acceso a sus propios datos- y, a cambio, los servidores de la compañía también le mostraban los datos de miles de usuarios más.
DJI SOLUCIONA EL FALLO: UNA VULNERABILIDAD IDENTIFICADA EN ENERO
Por su parte, la tecnológica ha señalado que ya ha corregido el fallo de seguridad que permitía acceder y controlar los robots aspiradores, aunque ha matizado que este error proviene de una vulnerabilidad que afectaba a DJI Home identificada internamente a finales de enero, que no se había parcheado por completo.
"DJI puede confirmar que el problema se resolvió la semana pasada y que la corrección ya estaba en marcha antes de la divulgación pública", ha asegurado la portavoz de DJI, Daisy Kong, en un comunicado enviado a The Verge.
Según ha explicado la firma en el comunicado, el problema que afectaba a DJI Home se solucionó mediante dos actualizaciones, con un parche inicial desplegado el 8 de febrero y una actualización de seguimiento completada el 10 de febrero, sin necesidad de ninguna acción por parte de los usuarios.
Concretamente, se trataba de una vulnerabilidad que implicaba un problema de validación de permisos en el 'backend', que afectaba a la comunicación basada en MQTT entre el dispositivo y el servidor. Este problema "creó un potencial teórico de acceso no autorizado a vídeo en directo del dispositivo ROMO", aunque según la investigación, "los hechos reales fueron extremadamente raros" y se vincularon a investigadores independientes de seguridad que estaban probando los dispositivos.
Así, aunque DJI asegura que el primer parche solucionó la vulnerabilidad, no se había aplicado de forma universal "en todos los nodos de servicio" y, por tanto, el segundo parche se lanzó con la intención de extender la solución a los nodos de servicio restantes, con lo que volvió a activarlos y reiniciarlos.
Tras recibir el informe de Sammy Azdoufal sobre los fallos encontrados, DJI ha sentenciado que ya se ha resuelto por completo y "no hay evidencia de un impacto más amplio". Asimismo, ha especificado que no se trata de un problema de cifrado de transmisión y que la comunicación entre el dispositivo y el servidor "no se transmitía en texto claro".
"DJI mantiene estándares estrictos de privacidad y seguridad de datos y ha establecido procesos para identificar y abordar posibles vulnerabilidades", ha concluido, al tiempo que ha señalado que ha invertido "en un cifrado industria" y que gestiona un programa de recompensa por errores.
Con todo ello, se ha de tener en cuenta que, aunque DJI asegura haber solucionado el fallo, si simplemente ha cerrado una determinada entrada a sus servidores para evitar que nadie acceda a los dispositivos, los actores maliciosos pueden acabar encontrando otra entrada para continuar accediendo al mismo punto. Es decir, los robots aspiradores no quedan del todo protegidos.
Azdoufal ha confirmado que ya no tiene acceso a ningún robot aspirador DJI ROMO. Sin embargo, ha compartido con The Verge otro fallo relacionado con los robots aspiradores que no se ha descrito porque aún no está solucionado y que califica como "grave".