Un hombre quiso controlar su aspiradora inteligente modelo DJI Romo con un mando DualSense de PlayStation 5, pero en el proceso accedió por accidente a casi 7000 ejemplares en todo el mundo. Podía observar en tiempo real la ubicación de cada dispositivo, así como observar su cámara interna, escuchar el micrófono y trazar planos precisos de las casas ajenas.
La ciberseguridad es un tema importante, especialmente en los tiempos modernos donde cualquier aparato tecnológico se conecta a la red para acceder a funcionalidades de la nube y otras características en línea. Aunque en Latinoamérica son menos comunes, las aspiradoras inteligentes ganan terreno en países como Estados Unidos.
Es fácil creer que un dispositivo robótico que se encarga de la limpieza no supone algún riesgo que atente contra la privacidad de las personas, pero la realidad es totalmente distinta. Un caso reciente expone lo fácil que fue controlar los dispositivos ajenos a través de una vulnerabilidad expuesta.
Más de Hacker
Hackeó miles de aspiradoras robots sin siquiera intentarlo
El DJI Romo es el primer robot aspirador del conocido fabricante de drones DJI. Se trata de un apartado que utiliza sensores ópticos, funciones de fregado automatizado y toda clase de funciones que permiten a los consumidores limpiar sus casas sin esfuerzo y de forma remota. Sin embargo, parece que la seguridad no fue una prioridad en el desarrollo.
En declaraciones para el medio The Verge, Sammy Azdoufal, quien trabaja como especialista de IA en una empresa de alquileres vacacionales, dijo que hackeó miles de estas aspiradoras robot y logró obtener acceso a sus funcionalidades de forma remota, todo eso sin siquiera intentarlo.
El experto solamente quería manipular su DJI Romo con un mando DualSense de PlayStation 5 porque pensó que sería divertido y más cómodo. Para ese objetivo utilizó la aplicación de control remoto que solamente le debía dar acceso a su dispositivo, pero en lugar de eso le permitió controlar casi 7000 ejemplares al conectarse a los servidores de la compañía.
Sammy Azdoufal explica que podía usar la dirección IP de cualquier aspiradora inteligente para encontrar su ubicación aproximada; obtuvo acceso a 6700 ejemplares en 24 países diferentes. También se podía conectar a las estaciones de energía portátiles DJI Power de la compañía, así que tenía en su control más de 10,000 dispositivos.
El hombre, quien ni siquiera intentaba piratear los robots, afirma que podía controlarlos a distancia sin ningún tipo de resistencia y obtener información valiosa, como el porcentaje de batería, qué habitación limpia en ese momento y los obstáculos que encontró en el camino. Todos esos detalles le permitían trazar planos precisos de las casas ajenas.
Por si lo anterior no fuera suficientemente preocupante, Sammy Azdoufal también podía ver la cámara integrada en el apartado electrónico y escuchar el micrófono. Prácticamente, logró entrar en los hogares de miles de personas sin siquiera intentarlo.
DJI responde al incidente
En su entrevista, el experto señala que solamente necesitó un token de su DJI Romo para autenticar el proceso de conexión y acceder a los datos de todas las unidades disponibles en aquel momento. Esto significa que ni siquiera tuvo que eludir restricciones de seguridad, superar filtros o hackear el sistema.
The Verge contactó con la compañía especializada en drones para informar de esta situación. Un portavoz dijo que el problema se resolvió la semana anterior y que ya estaba en marcha un plan para su divulgación pública. No obstante, esa declaración llegó media hora antes de que Sammy Azdoufal accediera otra vez a miles de robots de forma remota.
DJI no fue muy transparente sobre este asunto, pero eventualmente reconoció el error y lanzó una solución. Según los informes, se eliminó la falla el miércoles 11 de febrero. Dicha actualización finalmente bloqueó el acceso remoto, y el experto en IA ya no pudo controlar los dispositivos ajenos.
La corrección se implementó automáticamente y no requiere ninguna intervención del usuario. La vulnerabilidad se debía a un problema de validación de permisos del backend que afectaba la comunicación basada en MQTT entre el dispositivo y el servidor”, dijo la portavoz Daisy Kong.
Sin embargo, Sammy Azdoufal afirma que la compañía tecnológica no corrigió todas las vulnerabilidades de seguridad. Una de ellas es la posibilidad de ver transmisiones de video sin la necesidad de ingresar un PIN de verificación. DJI afirmó que está al tanto de este problema, y afirmó que ya trabaja en esa y otras soluciones.
Hackean el actualizador de Notepad++ para distribuir malware a los usuarios, y los ataques habrían sido patrocinados por el Estado Chino→ Peligrosa VPN gratuita para Android es un malware que roba dinero del banco y datos personales: el troyano ya afectó a miles de usuarios→
