DJI Romo: Modder usa controlador PS5 para manejar robot aspirador, obtiene acceso a 7.000 cámaras robóticas

El DJI Romo es el primer robot aspirador del conocido fabricante de drones. Con un llamativo diseño transparente, el robot destaca entre sus competidores, pero al parecer durante su desarrollo no se dio prioridad a la protección contra los ciberataques. Según informa The Verge informa, un cliente ha pirateado accidentalmente unas 7.000 unidades de DJI Romo en todo el mundo.

En un principio, Sammy Azdoufal sólo quería controlar su robot aspirador con un mando de PlayStation por diversión. Se suponía que la aplicación de control remoto personalizada controlaría el robot a través de los servidores de DJI. Pero en lugar de controlar únicamente su propio DJI Romo, el servidor concedió al desarrollador acceso a todas las casi 7.000 unidades DJI Romo que estaban activas en ese momento. Y lo que es más alarmante, el desarrollador no sólo podía controlar los robots, sino también acceder a sus micrófonos y altavoces, lo que prácticamente le daba acceso en directo a miles de hogares.

A través de la dirección IP, se podía determinar la ubicación aproximada de cada robot, y éstos podían incluso generar mapas de las habitaciones. El programador afirmó que no tuvo que infringir ninguna norma ni saltarse las restricciones de seguridad para conseguir este tipo de acceso. En su lugar, los servidores de DJI aceptaron el token de un único DJI Romo como autenticación para acceder a los datos de todas las unidades DJI Romo. DJI corrigió este importante fallo de seguridad el miércoles 11 de febrero. No obstante, el incidente ilustra cuántos datos personales puede recopilar un dispositivo doméstico inteligente como una aspiradora robot, y lo grave que sería este tipo de fallo si es aprovechado por un atacante.