In quello che potrebbe essere il più clamoroso autogol nella storia recente della sicurezza IoT, un ingegnere informatico si è ritrovato, quasi per caso, con i “poteri divini” su circa 7.000 robot aspirapolvere DJI sparsi in 24 paesi. Il ricercatore, Sammy Azdoufal, non aveva alcuna intenzione di scatenare una rivolta delle macchine; voleva solo pilotare il suo nuovo (e assurdamente costoso) DJI Romo con un controller della PlayStation 5. Perché? Beh, perché poteva.
Per realizzare questo piccolo sogno geek, Azdoufal si è servito di un assistente di codifica basato su AI per aiutarlo nel reverse-engineering dei protocolli di comunicazione del robot. Dopo essere riuscito a estrarre il token di autenticazione del proprio dispositivo, si è connesso ai server di DJI. Ma invece di ricevere risposta dal suo unico, solitario schiavo pulisci-pavimenti, si è visto rispondere da un intero esercito di circa 7.000 robot. La falla gli ha garantito l’accesso ai feed in diretta di telecamere e microfoni, alle planimetrie 2D in tempo reale delle case degli utenti e allo stato dei dispositivi di migliaia di ignari proprietari.
La radice del problema era una svista di sicurezza tanto banale quanto catastrofica. I server backend di DJI autenticavano correttamente il token dell’utente, ma a quanto pare dimenticavano il passaggio cruciale: verificare che l’utente fosse effettivamente il proprietario dello specifico dispositivo a cui cercava di accedere. In pratica, qualsiasi chiave valida poteva aprire qualsiasi porta sul pianeta. Azdoufal ha sottolineato di “non aver violato alcuna regola, non aver bypassato nulla, né usato forza bruta”, evidenziando come sia semplicemente entrato da una porta digitale lasciata spalancata.
Perché è importante?
Questo incidente è un caso di scuola sui pericoli della sicurezza dei moderni dispositivi IoT. Parliamo di prodotti che hanno un accesso intimo alle nostre case — completi di occhi e orecchie digitali — e che a volte sono protetti dall’equivalente informatico di un lucchetto per diari segreti. Sebbene il potenziale per una violazione della privacy su scala globale fosse enorme, Azdoufal si è comportato in modo responsabile, segnalando immediatamente la vulnerabilità.
Bisogna dare atto a DJI di aver reagito con una rapidità impressionante. Dopo la segnalazione, l’azienda ha corretto la vulnerabilità critica con una patch lato server nel giro di due giorni, senza richiedere alcun intervento da parte degli utenti. Restano però i dubbi su come una falla così elementare sia potuta finire in produzione. La risposta fulminea ha evitato il disastro, ma resta un monito per tutti i produttori di hardware connesso: chiudete bene le porte e, magari, assicuratevi che le chiavi dei vostri clienti non aprano anche quelle di tutto il quartiere.
