Ingegnere software ottiene accidentalmente il controllo di 7.000 robot aspirapolvere

Stati Uniti - Agenzia stampa Ekhbary

Ingegnere software ottiene accidentalmente il controllo di 7.000 robot aspirapolvere

In una rivelazione sorprendente che sottolinea i crescenti rischi per la sicurezza associati alla tecnologia delle case intelligenti, un ingegnere del software si è imbattuto in una significativa vulnerabilità nei robot aspirapolvere di DJI. Sammy Azdoufal, mentre tentava di creare la propria app di controllo remoto per il suo nuovo robot aspirapolvere DJI utilizzando un controller di videogiochi, ha inavvertitamente ottenuto l'accesso ai sistemi interni di migliaia di altri dispositivi.

L'impresa di Azdoufal ha comportato l'ingegneria inversa dei protocolli di comunicazione tra il suo robot aspirapolvere e i server cloud di DJI, utilizzando un assistente di codifica AI per accelerare il processo. Tuttavia, ha presto scoperto che le stesse credenziali utilizzate per accedere e controllare il proprio dispositivo gli fornivano anche feed video in tempo reale, audio del microfono, mappe dettagliate delle case e dati di stato da quasi 7.000 altri aspirapolvere distribuiti in 24 paesi. Questa falla di sicurezza backend ha effettivamente esposto un esercito di dispositivi connessi a Internet, che, se sfruttati da attori malintenzionati, avrebbero potuto essere facilmente trasformati in sofisticati strumenti di sorveglianza all'insaputa dei loro proprietari.

Fortunatamente, Azdoufal ha scelto di non sfruttare questo allarmante accesso. Invece, ha divulgato in modo responsabile le sue scoperte a The Verge, una testata giornalistica tecnologica, che ha prontamente contattato DJI per segnalare il difetto. DJI ha confermato a Popular Science che il problema è stato "risolto", sottolineando che l'incidente evidenzia le continue preoccupazioni espresse dagli esperti di sicurezza informatica riguardo alle vulnerabilità intrinseche dei robot connessi a Internet e dei dispositivi per la casa intelligente, rendendoli obiettivi primari per gli hacker.

Con l'aumento dell'adozione di robot domestici, inclusi modelli umanoidi sempre più sofisticati, l'identificazione e la mitigazione di vulnerabilità di sicurezza simili diventano una sfida più complessa. La proliferazione di strumenti di codifica basati sull'IA aggrava ulteriormente questo problema, abbassando la barriera tecnica per gli individui per scoprire e potenzialmente sfruttare le falle del software, amplificando così le diffuse preoccupazioni sulla sicurezza informatica.

Il modello specifico implicato in questo incidente è il DJI Robo, un aspirapolvere domestico autonomo lanciato inizialmente in Cina e che sta espandendo la sua presenza sul mercato. Venduto a circa 2.000 dollari, il dispositivo, come altri robot aspirapolvere, è dotato di una serie di sensori progettati per la navigazione e il rilevamento degli ostacoli. Sebbene gli utenti possano programmare e controllare l'aspirapolvere tramite un'app dedicata, la sua funzione principale è la pulizia e il lavaggio autonomi.

La funzionalità degli aspirapolvere autonomi come il Robo si basa sulla loro capacità di raccogliere continuamente dati visivi e comprendere i dettagli ambientali per navigare in modo efficace. Fondamentalmente, parte di questi dati dei sensori viene elaborata e archiviata da remoto sui server del produttore. Affinché il controller fai-da-te di Azdoufal funzionasse, la sua applicazione doveva autenticarsi con i server DJI e ottenere un token di sicurezza che ne verificasse la proprietà. Tuttavia, il difetto del sistema significava che, invece di convalidare un singolo token, i server concedevano un accesso diffuso, trattandolo effettivamente come proprietario di una vasta flotta di dispositivi.

Questa falla ha consentito ad Azdoufal di accedere ai feed video in tempo reale, attivare i microfoni e, secondo quanto riferito, compilare planimetrie 2D delle case in cui operavano gli aspirapolvere. Poteva anche determinare la posizione approssimativa dei dispositivi esaminando i loro indirizzi IP. Azdoufal sostiene che le sue azioni non costituivano "hacking", ma piuttosto la scoperta accidentale di una significativa svista di sicurezza.

DJI ha riconosciuto la vulnerabilità, affermando che è stata identificata attraverso una revisione interna alla fine di gennaio e che gli sforzi di rimedio sono stati avviati immediatamente. L'azienda ha riferito che il problema è stato risolto tramite due aggiornamenti software, con la patch iniziale distribuita l'8 febbraio e un aggiornamento di follow-up completato entro il 10 febbraio. Questi aggiornamenti sono stati distribuiti automaticamente, senza richiedere alcun intervento da parte dell'utente. DJI ha inoltre indicato piani per "continuare a implementare ulteriori miglioramenti della sicurezza", senza specificare misure particolari.

Questo incidente di sicurezza che coinvolge i prodotti DJI emerge nel contesto di un clima generale di apprensione riguardo alle capacità di sorveglianza intrinseche alla tecnologia delle case intelligenti. Eventi recenti, come la controversa pubblicità della funzione di ricerca di animali domestici di Ring e il recupero da parte di Google di filmati di videocitofoni Nest per un'indagine su un rapimento, hanno amplificato le preoccupazioni del pubblico sulla privacy dei dati e sul controllo dell'utente. Inoltre, i lunghi avvertimenti dei legislatori statunitensi sulle potenziali minacce alla sicurezza poste dai produttori di tecnologia cinesi, tra cui DJI, aggiungono un ulteriore livello di complessità geopolitica alla questione.

L'ironia è palpabile: i robot aspirapolvere e altri dispositivi per la casa intelligente, progettati per operare negli spazi più privati delle nostre vite, spesso soffrono di una storia di pratiche di sicurezza discutibili. Le proiezioni suggeriscono una crescente integrazione di telecamere e microfoni nelle case. La ricerca di mercato del 2020 indicava che 54 milioni di famiglie statunitensi possedevano almeno un dispositivo per la casa intelligente, e molti proprietari cercavano di espandere i propri ecosistemi intelligenti.

La sofisticazione di questi dispositivi sta anche rapidamente avanzando. Aziende come Tesla e Figure stanno sviluppando robot umanoidi avanzati destinati alle faccende domestiche, che richiedono un accesso esteso agli ambienti domestici intimi. Tale accesso presenta un significativo rischio potenziale, offrendo una miniera d'oro per gli attori malintenzionati se la sicurezza viene compromessa. La scoperta involontaria di Azdoufal serve da netto promemoria di questi potenziali pericoli, anche se inizialmente cercava solo di controllare il suo aspirapolvere con un joystick.

Agenzia stampa Ekhbary