Prima di procedere
A febbraio, una vulnerabilità nella sicurezza dei robot aspirapolvere DJI Romo ha sollevato serie preoccupazioni sulla privacy degli utenti. Un ricercatore, identificato come Sammy Azdoufal, ha scoperto una rete di circa 7000 robot accessibili da remoto, potenzialmente in grado di spiare all'interno delle abitazioni. La DJI ha riconosciuto la gravità della situazione e ha ricompensato Azdoufal con 30.000 dollari per la sua scoperta.
La storia è emersa quando Azdoufal, cercando di controllare il suo robot aspirapolvere DJI Romo con un gamepad di Sony PlayStation, si è imbattuto in un'inaspettata rete di dispositivi. Scavando più a fondo, ha scoperto che era possibile accedere ai flussi video provenienti da questi robot senza la necessità di un PIN di autorizzazione. Questa falla consentiva di fatto a chiunque di 'sbirciare' nelle case degli utenti.
Inizialmente, DJI non ha rivelato l'identità del ricercatore né la specifica vulnerabilità per cui è stato ricompensato. Tuttavia, è stato confermato che Azdoufal ha scoperto un modo per visualizzare il flusso video dei robot aspirapolvere senza autenticazione. DJI ha dichiarato di aver corretto questa vulnerabilità entro la fine di febbraio.
Ma la falla scoperta da Azdoufal non era l'unica. Un'altra vulnerabilità, descritta come più pericolosa, è stata identificata, ma la sua natura specifica non è stata divulgata dai media. DJI ha affermato di aver avviato un aggiornamento completo del sistema, prevedendo un'implementazione completa entro un mese. In un post sul blog, l'azienda ha menzionato il rafforzamento della sicurezza dei robot aspirapolvere Romo, attribuendo la scoperta iniziale dei problemi a un'indagine interna, ma ha anche ringraziato 'due ricercatori indipendenti' per il loro contributo.
DJI ha tenuto a precisare che Romo ha ottenuto certificazioni di sicurezza ETSI, EU e UL. Tuttavia, la facilità con cui Azdoufal è riuscito a infiltrarsi nella rete dei robot aspirapolvere solleva interrogativi sull'effettiva validità di tali certificazioni. L'azienda ha dichiarato il suo impegno a 'rafforzare il dialogo con la comunità di ricercatori di sicurezza' e ha promesso di introdurre nuove modalità di collaborazione.
L'incidente solleva importanti questioni sulla sicurezza dei dispositivi intelligenti e sulla protezione della privacy. In un mondo sempre più connesso, è fondamentale che i produttori di dispositivi IoT (Internet of Things) investano in modo significativo nella sicurezza dei loro prodotti per prevenire accessi non autorizzati e proteggere la privacy dei propri utenti. La vicenda di DJI Romo serve da monito per l'intero settore, evidenziando la necessità di una maggiore trasparenza e responsabilità nella gestione della sicurezza dei dati.
L'azienda DJI ha dovuto affrontare diverse sfide nel corso degli anni per quanto riguarda la sicurezza dei propri prodotti. In passato, sono state sollevate preoccupazioni riguardo alla sicurezza dei droni DJI e al potenziale utilizzo dei dati raccolti dai dispositivi. L'azienda ha sempre negato qualsiasi coinvolgimento in attività di spionaggio e ha affermato di rispettare rigorosamente la privacy dei propri utenti. Tuttavia, le nuove vulnerabilità scoperte nei robot aspirapolvere Romo dimostrano che la sicurezza informatica rimane una sfida costante per DJI e per l'intero settore tecnologico.
