- Un usuario accedió accidentalmente a miles de aspiradoras DJI Romo en todo el mundo
- Se expusieron en línea datos confidenciales, incluidos planos de planta y transmisiones de video en vivo.
- El cifrado de las comunicaciones permaneció intacto, pero el almacenamiento del servidor permaneció completamente desprotegido
Un acuarista descubrió que su dji La aspiradora Romo permitió, sin saberlo, el acceso a miles de otros dispositivos.
El estratega de inteligencia artificial Sammy Azdoufal utilizó ingeniería inversa para comprender cómo se comunicaba Romo con los servidores de DJI. No pirateó los sistemas DJI ni eludió el cifrado, y no utilizó fuerza bruta ni otros métodos ilícitos.
Estaba tratando de controlar su propio robot usando un controlador de PlayStation cuando el protocolo devolvió tokens privados a aspiradoras adicionales, incluidos más de 6.700 dispositivos ubicados en múltiples regiones, incluidos Estados Unidos, Europa y China.
Descubrimiento y detalles técnicos.
El principal problema era que los datos del dispositivo se almacenaban en texto sin formato en el servidor, lo que permitía a cualquier persona con acceso leer planos de planta, transmisiones de video en vivo y entradas de micrófono.
El cifrado que protegía las comunicaciones era perfecto, pero el almacenamiento de datos exponía información confidencial a cualquiera que tuviera acceso.
Azdoufal informó inmediatamente de la vulnerabilidad a DJI y la empresa emitió actualizaciones para resolver varios problemas sin requerir la intervención del usuario.
Quedan algunas vulnerabilidades, incluida la capacidad de transmitir vídeo sin un PIN de seguridad y otro problema no revelado debido a su gravedad.
Estos problemas restantes indican que el control de acceso y el almacenamiento de datos del lado del servidor aún necesitan atención.
Desafortunadamente, este no es un caso aislado: un ingeniero descubrió anteriormente que su aspiradora inteligente iLife A11 enviaba continuamente registros y telemetría al fabricante.
Cuando bloqueó los informes a través de su red, la empresa desactivó el dispositivo de forma remota.
Mediante ajustes técnicos, restauró la funcionalidad local, demostrando que la conectividad a la nube no es estrictamente necesaria para que el dispositivo funcione correctamente.
Muchos consumidores compran dispositivos inteligentes por conveniencia, pero incidentes como estos muestran riesgos potenciales cuando los usuarios comunes pueden acceder accidentalmente a datos privados.
Vídeos en directo, planos de planta y otra información podrían quedar expuestos si los atacantes aprovechan vulnerabilidades similares.
Usando software de firewallseguimiento cuidadoso y protección de punto final para la actividad de la red puede reducir la exposición y un uso más amplio de Herramientas de IA también puede ayudar a identificar patrones inusuales, aunque esto no garantiza la detección.
Los usuarios deben ser conscientes de que incluso pequeños errores de configuración o defectos de diseño pueden crear importantes riesgos para la privacidad.
El caso de las aspiradoras DJI Romo indica que los dispositivos IoT pueden priorizar la comodidad sobre una fuerte protección de datos, ya que, aunque este descubrimiento se informó de manera accidental y responsable, el diseño subyacente deja vulnerable la información personal sensible.
Esto plantea preocupaciones válidas sobre el acceso no intencionado y posibles ataques dirigidos en el futuro.
A través de Hardware de Tom
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrese de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
