Un usuario ha conseguido acceder a datos de miles de dispositivos conectados gracias a un fallo en la seguridad del robot aspirador DJI ROMO. Sammy Azdoufal, responsable de estrategia de IA en una empresa de alquiler vacacional, desarrolló una aplicación para controlar su propio dispositivo, pero en lugar de acceder solo a su aspiradora, logró identificar y catalogar 6.700 robots en 24 países.
Durante una demostración, Azdoufal mostró cómo su herramienta recopiló más de 100.000 mensajes en menos de diez minutos. Estos mensajes proporcionaban información sobre el estado de los robots, como el número de serie, las habitaciones que estaban limpiando y su ubicación en tiempo real. La comunicación se realizaba a través de un protocolo común para dispositivos conectados, conocido como MQTT.
El método que utilizó Azdoufal no implicó un ataque clásico a los servidores de DJI, sino que consistió en analizar la comunicación entre su propio dispositivo y la infraestructura de la compañía, permitiéndole extraer un token privado necesario para la autenticación en el sistema. Este incidente ha puesto de manifiesto las preocupaciones sobre la privacidad y la seguridad de los dispositivos conectados a la nube.