Un uomo ha inavvertitamente preso il controllo di migliaia di robot aspirapolvere connessi a Internet mentre tentava di modificare il proprio dispositivo per farlo funzionare con un controller PlayStation. L’hacking involontario ha fornito all’uomo l’accesso a planimetrie dettagliate e persino ai feed delle telecamere in tempo reale dei robot costruiti in Cina.
Tom’s Hardware rapporti che una significativa vulnerabilità di sicurezza nei robot aspirapolvere DJI Romo è stata scoperta dopo che un utente ha ottenuto accidentalmente l’accesso non autorizzato a più di 6.700 dispositivi in tutto il mondo mentre lavorava a un progetto di modifica personale. La violazione della sicurezza ha consentito l’accesso a informazioni sensibili, tra cui planimetrie dettagliate, feed di telecamere in tempo reale, audio del microfono e funzionalità di controllo remoto degli aspirapolvere interessati. Alcuni ricercatori di sicurezza hanno ipotizzato che l’uomo abbia accidentalmente avuto accesso a una “backdoor” aggiunta dall’azienda cinese per consentire lo spionaggio.
La scoperta è stata fatta da Sammy Adoufal, uno stratega dell’intelligenza artificiale che stava utilizzando Claude Code per decodificare il protocollo di comunicazione tra il suo robot aspirapolvere DJI Romo e i suoi server. La sua intenzione era semplicemente quella di consentire il controllo del proprio dispositivo utilizzando un controller PlayStation. Tuttavia, il processo gli ha fornito inaspettatamente credenziali di accesso a circa 6.700 robot aspirapolvere distribuiti in più continenti.
Adoufal ha sottolineato che le sue azioni non costituiscono hacking nel senso tradizionale. “Non ho infranto nessuna regola, non ho aggirato, non ho fatto crack, forza bruta, qualunque cosa”, ha detto Adoufal. Il suo approccio prevedeva solo l’estrazione del token privato dal proprio Romo Vacuum, che inavvertitamente concedeva l’accesso ai server live che operano negli Stati Uniti, in Europa e in Cina.
Dopo aver scoperto la vulnerabilità, Adoufal ha agito in modo responsabile notificando immediatamente a DJI la falla di sicurezza invece di sfruttare l’accesso per compromettere la privacy dell’utente. DJI ha risposto alla segnalazione implementando diversi aggiornamenti che risolvevano il problema principale senza richiedere alcuna azione da parte degli utenti finali. L’azienda ha implementato queste soluzioni per proteggere i dispositivi interessati e impedire ulteriori accessi non autorizzati.
Nonostante la risoluzione della principale vulnerabilità, Adoufal ha indicato che ulteriori problemi di sicurezza rimangono irrisolti. Tra questi problemi in sospeso c’è la possibilità di eseguire lo streaming di feed video dai dispositivi DJI Romo senza richiedere un PIN di sicurezza. Un altro problema di notevole gravità è stato identificato ma non reso pubblico. Adoufal ha sottolineato che il problema fondamentale va oltre i protocolli di crittografia utilizzati durante la comunicazione tra server. Secondo le sue scoperte, tutti i dati raccolti dai robot aspirapolvere vengono archiviati sui server in formato testo normale, rendendoli facilmente leggibili da chiunque riesca ad accedere al server.
Breitbart Notizie ha precedentemente riportato sui pericoli per la sicurezza dei dispositivi connessi a Internet come gli aspirapolvere robot. Una donna è rimasta inorridita quando una foto di lei seduta sul water è stata pubblicata su Facebook da lavoratori stranieri che monitoravano i dispositivi per la famosa azienda di aspirapolvere robot Roomba:
Un’indagine del MIT Technology Review ha rivelato che ai lavoratori dei concerti in Venezuela è stato chiesto di etichettare gli oggetti nelle fotografie di interni domestici scattate dall’aspirapolvere Roomba, alcune delle quali includevano persone con volti visibili. I dipendenti hanno successivamente pubblicato almeno 15 immagini sui gruppi di social media, comprese le foto di un bambino e di una donna che usavano il bagno. Si ritiene che questo non sia un incidente isolato e che gli etichettatori spesso abbiano accesso a foto, video e audio privati.
iRobot ha rescisso il suo accordo con una delle aziende di annotazione dei dati con cui collaborava, Scale AI, in risposta all’indagine. Tuttavia, il CEO di iRobot Colin Angle ha dichiarato in un post su LinkedIn che rendere disponibili tali immagini era necessario per addestrare gli algoritmi di riconoscimento degli oggetti dell’azienda, negando la preoccupazione che i lavoratori umani potessero vedere le immagini e i volti degli utenti di prova.
Leggi di più su Toms Hardware qui.
Lucas Nolan è un reporter di Breitbart News che si occupa di questioni di libertà di parola e censura online.
