Sammy Azdoufal voleva guidare il suo robot aspirapolvere con un controller PS5. Come ogni buon creatore, pensava che sarebbe stato divertente guidare manualmente un nuovo DJI Romo. Alla fine è riuscito ad accedere a un esercito di robot pulitori che gli hanno permesso di vedere migliaia di case.
Spinto da motivi puramente ludici, Azdoufal ha utilizzato l'assistente di codifica AI Claude Code di Anthropic per decodificare i protocolli di comunicazione del suo Romo. Ma quando la sua app fatta in casa si è collegata ai server di DJI, circa 7.000 robot aspirapolvere in 24 paesi hanno iniziato a rispondere.
Poteva guardare le immagini trasmesse dalle telecamere in diretta, ascoltare attraverso i microfoni integrati e generare planimetrie di case che non aveva mai visitato. Con un semplice numero di serie a 14 cifre, ha individuato il robot di un giornalista di Verge, ha verificato che stava pulendo il soggiorno con l'80% di batteria e ha prodotto una mappa accurata della casa da un altro Paese.
Il guasto tecnico era quasi comicamente elementare. Il broker di messaggi MQTT di DJI non disponeva di controlli di accesso a livello di argomento. Una volta effettuata l'autenticazione con un singolo token del dispositivo, era possibile vedere il traffico proveniente da altri dispositivi in chiaro.
Non sono stati solo gli aspirapolvere a rispondere. Sono comparse anche le stazioni di ricarica portatili Power di DJI, che funzionano con la stessa infrastruttura MQTT. Si tratta di generatori di riserva domestici espandibili fino a 22,5 kWh, commercializzati per mantenere la casa funzionante durante le interruzioni di corrente.
Ciò che rende questo caso diverso da una scoperta di sicurezza convenzionale è il modo in cui è avvenuto. Azdoufal ha utilizzato Claude Code per decompilare l'app mobile di DJI, comprenderne il protocollo, estrarre il proprio token di autenticazione e creare un client personalizzato.
Gli strumenti di codifica AI stanno abbassando il livello di sicurezza offensiva avanzata. La popolazione in grado di sondare i protocolli dell'Internet delle cose (IoT) è appena diventata molto più numerosa, erodendo ulteriormente qualsiasi residua fiducia nella sicurezza attraverso l'oscurità.
Perché molti aspirapolvere IoT fanno schifo
Non è la prima volta che qualcuno controlla da remoto un robot aspirapolvere. Nel 2024, hackers hanno preso il controllo degli aspirapolvere Ecovacs Deebot X2 in diverse città degli Stati Uniti, urlando insulti attraverso gli altoparlanti e rincorrendo gli animali domestici. La protezione tramite PIN di Ecovacs era verificata solo dall'app, mai dal server o dal dispositivo.
Lo scorso settembre, l'autorità di vigilanza sui consumatori della Corea del Sud ha testato sei marchi. Mentre Samsung e LG hanno ottenuto buoni risultati, sono state riscontrate gravi lacune in tre modelli cinesi. Il modello X50 Ultra di Dreame consentiva l'attivazione remota della telecamera. Il ricercatore Dennis Giese ha successivamente segnalato una vulnerabilità TLS nell'app di Dreame alla CISA. Dreame non ha risposto alle richieste della CISA.
Il modello continua a ripetersi: i produttori commercializzano aspirapolvere con difetti di sicurezza evidenti, ignorano i ricercatori e poi si affrettano a intervenire quando i giornalisti pubblicano la notizia.
La risposta iniziale di DJI ha peggiorato la situazione. La portavoce Daisy Kong ha dichiarato a The Verge che il problema era stato risolto la settimana precedente. Tale dichiarazione è arrivata circa trenta minuti prima che Azdoufal dimostrasse che migliaia di robot, compresa l'unità di prova del giornalista, continuavano a trasmettere in diretta. DJI ha successivamente rilasciato una dichiarazione più completa in cui riconosceva un problema di convalida delle autorizzazioni nel backend e due patch, l'8 e il 10 febbraio.
DJI ha affermato che la crittografia TLS è sempre stata attiva, ma Azdoufal sostiene che essa protegge la connessione, non ciò che contiene. Ha anche dichiarato a The Verge che alcune vulnerabilità aggiuntive rimangono ancora senza patch, tra cui un bypass del PIN sul feed della telecamera.
Le autorità di regolamentazione stanno esercitando pressioni
La regolamentazione sta arrivando, lentamente. Il Cyber Resilience Act dell'UE richiederà la sicurezza obbligatoria fin dalla progettazione per tutti i prodotti connessi venduti nell'Unione entro dicembre 2027, con multe fino a 15 milioni di euro. Il PSTI Act del Regno Unito, in vigore dall'aprile 2024, è diventato la prima legge al mondo a vietare le password predefinite sui dispositivi intelligenti. Il Cyber Trust Mark degli Stati Uniti, al contrario, è volontario. Questi quadri normativi si applicano tecnicamente indipendentemente dalla sede del produttore. In pratica, applicare multe a un'azienda di Shenzhen che ignora le richieste di coordinamento della CISA è una questione completamente diversa.
Come stare al sicuro
Ci sono alcune misure pratiche che puoi adottare:
- Controlla i test di sicurezza indipendenti prima di acquistare dispositivi connessi
- Posizionare i dispositivi IoT su una rete ospite separata
- Mantieni aggiornato il firmware
- Disattiva le funzioni che non ti servono
E chiediti se un aspirapolvere ha davvero bisogno di una telecamera. Molti modelli dotati solo di LiDAR navigano efficacemente senza video. Se il tuo dispositivo include una telecamera o un microfono, valuta se ti senti a tuo agio con tale esposizione o copri fisicamente l'obiettivo quando non è in uso.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
