DJI corrige faille exposant des données d'aspirateurs Romo
TL;DR
DJI a corrigé une faille exposant des données d'aspirateurs Romo, touchant 7 000 utilisateurs. La société continue d'améliorer la sécurité des données.
DJI a corrigé une faille qui exposait des données d'aspirateurs robotiques Romo, permettant un accès non autorisé à des informations sensibles de 7 000 utilisateurs dans le monde entier. La découverte a été faite par Sammy Azdoufal, qui a réussi à contrôler des aspirateurs en utilisant une manette de PlayStation 5.
La faille se trouvait dans une "validation des permissions au backend", permettant à tout client authentifié d'accéder aux données de tous les appareils connectés. Lors d'une expérience de seulement neuf minutes, Azdoufal a catalogué 6 700 dispositifs dans 24 pays, collectant plus de 100 000 messages.
DJI a été alertée et a corrigé le problème en moins de 24 heures, bien qu'il subsiste des vulnérabilités, y compris l'accès à des flux vidéo sans nécessité de code PIN de sécurité. L'entreprise a déclaré que la communication est cryptée via TLS, mais a reconnu la nécessité de deux mises à jour pour résoudre complètement le problème.
La faille a soulevé des inquiétudes concernant la sécurité des données, car même avec le cryptage, des utilisateurs authentifiés pouvaient accéder à des informations internes. DJI a promis une nouvelle correction dans quelques semaines pour résoudre les problèmes restants.
Ce cas souligne l'importance de révisions de sécurité rigoureuses, surtout pour les dispositifs connectés à Internet. DJI continue de travailler sur des améliorations pour protéger les données de ses utilisateurs.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
