Sammy Azdoufal, responsable de estrategia en inteligencia artificial en una empresa de alquiler de vacaciones, descubrió una importante vulnerabilidad en los robots aspiradores Romo de DJI que pone en evidencia fallos sistémicos en la infraestructura en la nube del fabricante. Su propósito inicial era controlar su propio aspirador DJI Romo desde un mando de PS5 para uso personal. Sin embargo, la aplicación de control remoto que desarrolló comenzó a comunicarse con los servidores de DJI y, sin querer, interactuó con cerca de 7.000 dispositivos en todo el mundo.
DJI y la vulnerabilidad en su infraestructura en la nube
Azdoufal consiguió controlar y monitorizar remotamente estos dispositivos, incluyendo el acceso a imágenes en directo de las cámaras, la creación de mapas detallados en 2D de los espacios y la obtención de ubicaciones a partir de las direcciones IP de los robots. En una demostración en vivo, registró más de 6.700 dispositivos DJI en 24 países en menos de diez minutos, recibiendo más de 100.000 mensajes de datos. Además, su acceso se extendió a estaciones de energía portátiles DJI Power, aumentando el control sobre más de 10.000 dispositivos en total.
El experto logró todo esto sin hackear los servidores de DJI: usó el token privado de su propio dispositivo, una clave de autenticación que DJI emplea para otorgar acceso a usuarios autorizados. La falla radica en que los servidores permitían acceder a datos de miles de dispositivos debido a una insuficiente validación de permisos en backend, sobre todo en las comunicaciones basadas en MQTT. Azdoufal pudo ver transmisiones de vídeo en directo y el estado de los dispositivos, saltándose incluso el PIN de seguridad de las cámaras. Compartió una versión limitada de su aplicación con otro profesional de seguridad, que consiguió acceder a la cámara de su dron antes de emparejarlo.
DJI reaccionó tras la divulgación, anunciando que el problema se corrigió con una actualización desplegada el 8 de febrero y con parches adicionales completados el día 10. La compañía explicó que la vulnerabilidad era un problema en la validación de permisos backend, no una debilidad en el cifrado, y recalcó que la comunicación entre dispositivo y servidor estaba cifrada mediante TLS. Aun así, los hallazgos de Azdoufal demostraron que, una vez autenticados en el servidor MQTT, los clientes podían suscribirse a los datos de todos los dispositivos por falta de controles adecuados a nivel de tópicos.
Tras la demostración pública, DJI restringió el acceso bloqueando funciones de control remoto, vídeo y audio que antes estaban disponibles. Pese a ello, Azdoufal sostiene que quedan vulnerabilidades por resolver, incluida la posibilidad de ver vídeo sin introducir el PIN de seguridad. DJI no ha solucionado todas las fallas ni ha anunciado compromisos firmes para reparar las más críticas dentro de plazos cercanos.
Implicaciones para la seguridad de dispositivos inteligentes
Este incidente pone en alerta sobre la seguridad y privacidad en dispositivos inteligentes para el hogar que incluyen cámaras y micrófonos, especialmente en la gestión de accesos y datos en la nube. Las brechas previas en otras marcas de aspiradores y cámaras muestran que sigue siendo un reto para la industria consolidar arquitecturas robustas de permisos. Azdoufal, que no siguió los procedimientos habituales de programas de recompensas por bugs, decidió actuar con urgencia para provocar una solución rápida.
DJI mostró poca transparencia durante el proceso: admitió el fallo con retraso y sus parches iniciales resultaron incompletos. La situación evidencia la necesidad de reforzar la arquitectura de permisos en ecosistemas IoT para evitar exposiciones masivas de información, independientemente de que la transmisión de datos esté cifrada.
El caso DJI es un aviso claro sobre la importancia de diseñar sistemas que garanticen la segregación efectiva entre usuarios, dispositivos y servicios en la nube, evitando que un token de autenticación valido otorgue acceso global sin controles diferenciados.
¿Quieres montarte tu propio sistema Smart Home?
¿Te gustaría empezar poco a poco teniendo Google Home, Alexa o Home Assistant para controlar las luces, calefacción y otros electrodomésticos de la casa? ¡Te ayudamos!
Entra en nuestro Grupo de Telégram de Domótica y también puedes entrar a nuestro Foro de Domótica donde podrás empezar a leer y preguntar tus dudas. Además, si quieres estar al tanto de las ofertas de domótica que salen a diario para poder hacerte un sistema de domótica low cost, entra a nuestro Canal de ofertas de domótica y no te perderás ni una o si lo prefieres y no tienes Telegram, puedes entrar a nuestra página de ofertas de domótica o Smart Home en Facebook. ¡Síguenos también en nuestro Facebook, Twitter o Instagram!
¡Te esperamos!Si también buscas otro tipo de ofertas, puedes echar un ojo a nuestros otros canales:
* Tecnología en general *
* Juguetes / consolas / Juegos de mesa *
* Manualidades *
Si no tienes Telegram puedes consultar todas las ofertas en Megabazar.es
Si también buscas otro tipo de ofertas, puedes echar un ojo a nuestros otros canales:
* Tecnología en general *
* Juguetes / consolas / Juegos de mesa *
* Manualidades *
Si no tienes Telegram puedes consultar todas las ofertas en Megabazar.es
* Tecnología en general * * Juguetes / consolas / Juegos de mesa * * Manualidades *
Descubre más desde Domótica en Casa
Suscríbete y recibe las últimas entradas en tu correo electrónico.
