- Come può un utente accedere a 6.700 robot aspirapolvere?
- Cosa è successo a DJI ROMO?
- La tua smart home è davvero sicura?
Robot aspirapolvere DJI ROMO: un utente accede a 6.700 dispositivi nel mondo e riapre il dibattito su privacy e casa connessa
Un episodio legato alla sicurezza informatica e alla domotica ha riportato al centro dell’attenzione il tema della privacy nella smart home. Un utente ha dichiarato di essere riuscito ad accedere ai dati e all’attività di circa 6.700 robot aspirapolvere distribuiti in 24 Paesi, tutti riconducibili al modello DJI ROMO. L’azienda ha confermato l’esistenza di una vulnerabilità e ha rilasciato aggiornamenti correttivi.
Il caso solleva interrogativi sulla gestione dei dispositivi IoT, sull’uso del cloud e sulle misure di protezione dei dati personali all’interno delle abitazioni connesse.
Come è stato possibile accedere a migliaia di robot aspirapolvere connessi?
La vicenda nasce da un esperimento personale. Sammy Azdoufal, dirigente nel settore dell’intelligenza artificiale applicata al turismo, voleva controllare il proprio robot aspirapolvere DJI ROMO tramite un controller di console, sviluppando un’applicazione personalizzata.
Durante i test, l’app ha iniziato a comunicare con i server dell’azienda produttrice. In modo inatteso, oltre al suo dispositivo sono comparsi migliaia di altri robot distribuiti in vari Paesi, che risultavano visibili come se fossero associati allo stesso account.
Secondo quanto riferito, non sarebbe stato necessario un “hackeraggio” tradizionale dei sistemi. L’utente avrebbe analizzato il funzionamento della comunicazione tra il proprio dispositivo e l’infrastruttura cloud, individuando il token di autenticazione utilizzato per accedere ai server. Una volta autenticato, il sistema non avrebbe limitato correttamente i messaggi a cui era possibile iscriversi.
Quali dati dei robot aspirapolvere erano visibili?
Nel corso di una dimostrazione pubblica, l’utente ha dichiarato di aver individuato in circa nove minuti oltre 6.700 dispositivi IoT in 24 Paesi, raccogliendo più di 100.000 messaggi generati dai robot.
I dati trasmessi tramite protocollo MQTT — comunemente utilizzato nei dispositivi smart home — includevano:
- Numero di serie del dispositivo
- Stato operativo
- Stanza in fase di pulizia
- Percorso effettuato
- Ritorno alla base di ricarica
Ogni robot inviava aggiornamenti a intervalli di pochi secondi. Si tratta di informazioni tecniche legate al funzionamento, ma che rientrano nel più ampio ambito della sicurezza dei dispositivi connessi e della protezione della rete domestica.
Qual è stata la risposta ufficiale di DJI?
L’azienda ha dichiarato di aver individuato la vulnerabilità a fine gennaio, nell’ambito di controlli interni. Sono stati quindi distribuiti due aggiornamenti:
- Un primo patch di sicurezza l’8 febbraio
- Un secondo intervento correttivo il 10 febbraio, destinato ai nodi non aggiornati
Secondo la versione ufficiale, il problema riguardava una “validazione dei permessi lato backend” nella gestione delle comunicazioni MQTT tra dispositivo e server.
DJI ha precisato che:
- Le comunicazioni erano protette da crittografia TLS
- L’accesso non autorizzato sarebbe stato “estremamente raro”
- I dati dei dispositivi europei sono archiviati su infrastruttura AWS situata negli Stati Uniti
L’azienda ha ribadito di aver adottato misure correttive per rafforzare la cybersecurity e prevenire episodi analoghi.
Perché il caso riapre il dibattito sulla privacy nella smart home?
Il tema centrale riguarda la crescente diffusione di elettrodomestici intelligenti, sensori e sistemi connessi all’interno delle abitazioni. Anche un singolo robot aspirapolvere connesso può trasmettere dati verso server esterni, rendendo la casa parte di un ecosistema digitale più ampio.
I moderni dispositivi per la casa intelligente integrano:
- Sensori ottici
- Sistemi LiDAR
- Connessione permanente a Internet
- Applicazioni di gestione da remoto
Nel caso del DJI ROMO, la mappatura avanzata degli ambienti e la gestione tramite app dedicata lo rendono una vera piattaforma connessa, non un semplice elettrodomestico.
Quando emergono vulnerabilità nei sistemi di autenticazione o nella gestione dei permessi, il rischio non riguarda solo dati tecnici, ma l’intero modello di abitazione connessa, basato su scambio continuo di informazioni.
Quali implicazioni per la sicurezza dei dispositivi IoT domestici?
L’episodio evidenzia alcuni aspetti chiave della sicurezza informatica domestica:
- Necessità di audit interni rigorosi prima del lancio commerciale
- Controllo puntuale dei permessi lato server
- Aggiornamenti software tempestivi
- Trasparenza nella gestione dei dati
La crescita del mercato dei dispositivi IoT, dei robot aspirapolvere smart, della domotica avanzata e della smart home security richiede standard sempre più elevati di protezione.
Con l’espansione del portafoglio prodotti dall’aeronautica ai dispositivi per la casa, DJI ha applicato la propria esperienza tecnologica a un settore in forte espansione. Tuttavia, come dimostra il caso, nel contesto della casa connessa la sicurezza dei dati è un elemento determinante quanto le prestazioni tecniche.