Hace unos días, cuando un entusiasta del bricolaje intentó controlar su robot de barrido DJI Romo con un controlador de juego de PS5, accidentalmente desencadenó una grave vulnerabilidad de seguridad. Como resultado, alrededor de 6.700 robots de este tipo en todo el mundo fueron sujetos a acceso no autorizado, lo que les permitió ver imágenes de cámaras en tiempo real, obtener planos de viviendas en 2D e incluso localizar ubicaciones de equipos.
Después de que The Verge expuso el incidente, DJI respondió oficialmente, diciendo que había completado la reparación de la vulnerabilidad.

La vulnerabilidad fue descubierta por Sammy Azdoufal. Le dijo a los medios que su intención original era simplemente usar el controlador de PS5 para controlar el DJI Romo recién comprado, por lo que usó el software Claude Code para realizar ingeniería inversa en el protocolo de comunicación entre el robot y el servidor DJI, e hizo una aplicación de control remoto casera.
Sorprendentemente, los permisos de la aplicación estaban fuera de control después de conectarse al servidor. Sólo extrajo el token privado de su propio dispositivo y recibió respuesta de unas 7.000 unidades Romo en todo el mundo.
Un reportero de The Verge presenció en vivo la manifestación de vulnerabilidad. En 9 minutos, la computadora de Azdufar registró 6.700 dispositivos DJI en 24 países y recopiló más de 100.000 mensajes de dispositivos, que abarcaban números de serie de dispositivos, salas limpias, escenas vistas, distancia de conducción, tiempo de carga y obstáculos encontrados, etc.
Dos mapas del espacio vital de Thomas. La parte superior es el mapa no autenticado obtenido del servidor DJI; la parte inferior es el mapa que el propietario ve en su teléfono móvil.
Con solo el número de serie del dispositivo de 14 dígitos proporcionado por mi colega Thomas Ricker, puedo verificar con precisión el estado del robot que limpia la sala de estar y el 80% restante de la batería, y también obtener el plano preciso de la casa de mi colega.

Además, pudo omitir el PIN de seguridad de su propio robot para ver imágenes en tiempo real, e incluso compartió una versión de solo lectura de la aplicación con Gonzague Dambricourt, CTO de una empresa francesa de consultoría de TI, quien podía ver de forma remota las imágenes de la cámara de su Romo sin emparejar el dispositivo.
Azdufar enfatizó que no invadió el servidor DJI. "No violé ninguna regla, ni rompí ni forcé bruscamente ningún sistema". Fue solo que el token privado que extrajo para su propio dispositivo, que se suponía era la clave para verificar los permisos de acceso de su propio dispositivo, fue juzgado erróneamente por el servidor DJI como un permiso general, filtrando así datos sobre miles de dispositivos en todo el mundo.
También reveló que borraría todos los datos adquiridos cada vez que cerrara la herramienta y no abusaría de la laguna jurídica para invadir la privacidad de otras personas.