Una falla nella sicurezza espone telecamere e mappe di 7.000 robot aspirapolvere DJI Romo in 24 paesi

Un ingegnere informatico spagnolo ha scoperto una grave vulnerabilità di sicurezza nel robot aspirapolvere DJI Romo, lanciato nel febbraio 2026 dall’azienda cinese. Sammy Azdoufal intendeva solo creare un’applicazione personalizzata per controllare il proprio dispositivo con un controller PlayStation 5. Durante l’esperimento, ha avuto accesso ai dati di circa 7mila unità in almeno 24 paesi. Il difetto consentiva la visualizzazione dei feed delle telecamere in tempo reale, dell’audio del microfono, delle planimetrie delle case e delle posizioni approssimative in base agli indirizzi IP.

L’incidente si è verificato perché il token di autenticazione estratto dal dispositivo di Azdoufal fungeva da chiave principale sui server DJI. Ele non aveva bisogno di entrare nei sistemi o usare la forza bruta. Il protocollo MQTT, utilizzato per la comunicazione tra i robot e il cloud, non convalidava correttamente le autorizzazioni per dispositivo. Isso ha comportato l’accesso non autorizzato alle informazioni sensibili di migliaia di utenti a loro insaputa.

DJI ha confermato l’esistenza del problema previa notifica. L’azienda ha implementato le correzioni in due aggiornamenti automatici all’inizio di febbraio 2026. Gli aggiornamenti Essas limitavano l’accesso non autorizzato e venivano applicati senza la necessità dell’intervento dei proprietari dei dispositivi. La falla ha interessato soprattutto la comunicazione basata su MQTT tra i dispositivi e il server cloud.

Scoperta durante l’esperimento domestico

Sammy Azdoufal ha utilizzato lo strumento AI di Anthropic Claude per analizzare il protocollo di comunicazione di Romo. Ele ha sviluppato un client personalizzato che associava i comandi del controller PS5 ai movimenti del robot. L’obiettivo era rendere l’operazione più divertente, simile ad un gioco.

Durante il test, l’applicazione si è connessa al server DJI. Invece di ricevere dati solo dal tuo Romo, ha ottenuto informazioni da migliaia di altri dispositivi. Azdoufal ha potuto controllare da remoto i dispositivi, controllare i livelli della batteria e osservare ciò che le telecamere hanno catturato in tempo reale.

Ha dimostrato l’accesso in tempo reale per i giornalisti. In pochi minuti ha raccolto più di 100.000 messaggi di telemetria inviati dai robot ogni pochi secondi. I dati includevano lo stato di pulizia, gli ostacoli rilevati e le mappe generate dai sensori.

Come ha funzionato la scappatoia tecnica

Il protocollo MQTT consente ai dispositivi di pubblicare e iscriversi agli argomenti dei messaggi in modo leggero. Nel caso di Romo, i dispositivi hanno inviato pacchetti costanti con numero di serie, stato e dati visivi. Il server accettava ampi abbonamenti senza restrizioni per token individuale.

L’autenticazione non ha legato il token a un dispositivo specifico. Qualquer token valido ha consentito un ampio accesso. Isso ha mostrato non solo il video e l’audio, ma anche le planimetrie dettagliate delle residenze.

Gli esperti di sicurezza informatica sottolineano che difetti simili si verificano nei dispositivi IoT quando i controlli di accesso al cloud sono insufficienti. L’incidente rafforza i rischi nei prodotti connessi che mappano gli ambienti interni.

Risposta DJI e correzioni applicate

DJI ha avviato correzioni interne nel gennaio 2026. Após ha contattato Azdoufal e gli organi di stampa, la società ha accelerato gli aggiornamenti. Le patch Duas sono state inviate automaticamente l’8 e il 10 febbraio.

Leia Tambem

Colby Minifie conferma i poteri di Ashley Barrett nella quinta stagione di The Boys

Samsung rilascia un nuovo aggiornamento di sistema con nuove funzionalità per gli utenti Galaxy Watch 4

L’adattatore wireless CarPlay di Amazon ha uno sconto del 50% e un elevato indice di approvazione da parte degli automobilisti

La società ha dichiarato che il problema è stato risolto e che la riparazione era già in corso prima della divulgazione pubblica. Un portavoce ha spiegato che la vulnerabilità riguardava la convalida delle autorizzazioni sul backend.

Azdoufal ha notato che inizialmente persistevano alcuni problemi minori, come l’accesso ai flussi video senza un PIN di sicurezza. DJI ha promesso di affrontare questi punti aggiuntivi nei futuri aggiornamenti.

Rischi per gli utenti di dispositivi intelligenti

Gli aspirapolvere robot dotati di telecamere e microfoni rappresentano potenziali bersagli nelle reti domestiche connesse. Acesso non autorizzato può rivelare routine quotidiane, layout della casa e conversazioni private. Casos precedenti con altri marchi hanno mostrato abusi simili.

L’incidente evidenzia la necessità di un’autenticazione rigorosa nei protocolli IoT. Tokens deve avere come ambito il dispositivo e gli abbonamenti limitati. Fabricantes deve testare gli argomenti con caratteri jolly e le convalide delle autorizzazioni.

Gli utenti devono mantenere firmware aggiornato e segmentare le reti per i dispositivi intelligenti. Simple Medidas riduce l’esposizione negli ecosistemi connessi.

Impatto sul mercato dei robot domestici

Il DJI Romo è entrato nel segmento dei robot aspirapolvere con funzionalità avanzate di mappatura e fotocamera. Il fallimento si è verificato poco dopo il lancio globale. Isso potrebbe influire sulla fiducia nei prodotti del marchio, noto per i droni.

Le aziende del settore si trovano ad affrontare una crescente pressione in termini di sicurezza. Incidentes affermano che la comodità della connettività richiede un monitoraggio rigoroso. Il caso serve da monito per l’intero settore IoT nazionale.

Azdoufal ha condiviso il suo codice per il controllo del gamepad dopo le correzioni. Ele ha sottolineato di non aver esplorato i dati e ha segnalato immediatamente il problema.