DJI corrige falla que exponía datos de aspiradoras Romo
TL;DR
DJI solucionó una falla que exponía datos de aspiradoras Romo, afectando a 7 mil usuarios. La empresa trabaja en mejoras de seguridad adicionales.
La DJI corrigió una falla que exponía datos de aspiradoras robóticas Romo, permitiendo acceso no autorizado a información sensible de 7 mil usuarios en todo el mundo. El descubrimiento fue realizado por Sammy Azdoufal, quien logró controlar aspiradoras usando un control de PlayStation 5.
La falla estaba en una "validación de permisos en el backend", que permitía que cualquier cliente autenticado accediera a datos de todos los dispositivos conectados. En un experimento de solo nueve minutos, Azdoufal catalogó 6.700 dispositivos en 24 países, recolectando más de 100 mil mensajes.
La DJI fue alertada y corrigió el problema en menos de 24 horas, aunque aún existen vulnerabilidades, incluyendo el acceso a feeds de video sin necesidad de un PIN de seguridad. La empresa afirmó que la comunicación está cifrada a través de TLS, pero reconoció la necesidad de dos actualizaciones para resolver completamente el problema.
La falla generó preocupaciones sobre la seguridad de los datos, ya que, incluso con cifrado, usuarios autenticados podían acceder a información interna. La DJI prometió una nueva corrección en algunas semanas para abordar cuestiones pendientes.
El caso destaca la importancia de revisiones de seguridad rigurosas, especialmente en dispositivos conectados a internet. La DJI continúa trabajando en mejoras para proteger los datos de sus usuarios.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
