El día de San Valentín te traje Una historia que desde entonces ha sido noticia en todo el mundo.: Cómo un hombre, al intentar manejar su robot aspirador DJI con un gamepad de PlayStation, descubrió una red completa de 7.000 robots DJI controlados a distancia listos para permitirle espiar los hogares de otras personas.
Para ser claros, DJI ya había comenzado a abordar algunas de las vulnerabilidades relacionadas antes de que el hombre, Sammy Azdoufal, mostrara el borde a cuánto podía acceder. Pero no estaba claro si DJI le pagaría por su descubrimiento, especialmente después cómo trató al investigador de seguridad Kevin Finisterre en 2017 – o cuándo DJI podrá corregir por completo las vulnerabilidades adicionales que descubrió Azdoufal.
Hoy tenemos algunas de las respuestas.
DJI pagará a Azdoufal 30.000 dólares por un solo descubrimiento, según un correo electrónico que compartió el bordesin especificar por qué descubrimiento está pagando. Aunque DJI no nombra a Azdoufal, lo confirma el borde “recompensó” a un investigador de seguridad anónimo por su trabajo.
DJI tampoco nos ha dicho por qué descubrimiento está pagando, pero dice que ya ha abordado la vulnerabilidad adicional que encontró Azdoufal donde alguien podía ver una transmisión de video desde el DJI Romo sin necesidad de un PIN de seguridad. “Podemos confirmar que la observación de seguridad del código PIN se resolvió a finales de febrero”, se lee en un comunicado proporcionado por la portavoz de DJI, Daisy Kong.
Quizás te estés preguntando: ¿Qué pasa con la vulnerabilidad que parecía tan grave que nos negamos a describirla en nuestra historia original?? DJI me dijo que también está trabajando en esto: “También hemos comenzado a actualizar todo el sistema. Esto incluye una serie de actualizaciones, que anticipamos que se implementarán por completo dentro de un mes”.
DJI también publicó una publicación de blog público hoy sobre fortalecer la seguridad de DJI Romo, donde continúa afirmando que descubrió el problema original, al tiempo que da crédito a “dos investigadores de seguridad independientes” por encontrar el mismo problema.
Bien, DJI parece estar sugiriendo que todo está ya Resuelto con Romo: “Se han implementado actualizaciones para resolver completamente el problema”. Pero nuevamente, no había una sola vulnerabilidad, y DJI dijo el borde lo que podría tardar hasta otro mes.
En la publicación del blog, DJI también dice que Romo ya cuenta con certificaciones de seguridad ETSI, EU y UL, lo que podría plantear preguntas sobre cuán útiles son realmente estas certificaciones si un tipo con Claude Code pudiera acceder a una red completa llena de robovacs. – y que continuará probando, reparando y sometiendo a Romo y su aplicación a auditorías de seguridad de terceros independientes.
DJI escribe que está “comprometido a profundizar nuestro compromiso con la comunidad de investigación de seguridad y pronto introducirá nuevas formas para que los investigadores se asocien y colaboren con nosotros”.
