DJI Romo P Omicrono
DJI pagará más de 25.000 euros al ingeniero de Barcelona que 'hackeó' sin querer 6.700 robots aspiradores en todo el mundo
Pese a anunciar la recompensa a Sammy Azdoufal por el descubrimiento de la vulnerabilidad, la compañía insiste en que detectaron el fallo previamente.
Más información: DJI va a por Roomba: lanza tres robots aspiradores de gran potencia y con tecnología de sus drones para evitar obstáculos
El pasado 11 de febrero Sammy Azdoufal, un ingeniero ubicado en Barcelona, realizó un descubrimiento asombroso. Lo que empezó como un experimento para controlar su dispositivo DJI Romo con un mando de PlayStation 5 acabó con el hallazgo de una vulnerabilidad en el robot aspirador.
Un fallo que permitió a Azdoufal manejar 6.700 robots en 24 países gracias a una herramienta que él mismo desarrolló para este experimento. Ahora, días después de este suceso que se volvió viral, DJI ha anunciado que pagará al ingeniero 30.000 dólares (unos 25.945 euros al cambio).
Así lo adelanta el medio The Verge, citando un correo electrónico enviado por la misma DJI en la que detallan cómo Azdoufal recibirá esta recompensa por su trabajo relacionado con la ciberseguridad de sus dispositivos Romo.
Un 'sorprendente' experimento
Todo comenzó el pasado 11 de febrero, cuando Azdoufal publicó un YouTube Short en su canal, que tituló "Controlando un DJI Romo con un mando de PS5". Y, como el texto rezaba, usó el mando de la popular consola para controlar el robot aspirador.
Este era uno de tantos experimentos en el porfolio de Azdoufal. Para conseguir dicho control, el ingeniero desarrolló una aplicación propia, que implicó averiguar la forma en la que la aspiradora se comunicaba con los servidores de DJI.
Lo que seguramente Azdoufal no esperaba es que pese a conseguir su objetivo, su robot no fue el único que respondió. Miles de dispositivos repartidos por todo el mundo también estaban siendo controlados por el ingeniero.
Sin quererlo, Sammy había localizado en apenas 9 minutos 6.700 robots en 24 países, reuniendo 100.000 mensajes enviados por esos equipos que reportaban datos de actividad cada pocos segundos, según adelantó en su día el mismo medio.
En estos mensajes se incluían datos sensibles, que iban desde números de serie hasta estancias que se estaban limpiando. Tampoco faltaba información respecto a la batería, a recorridos, regresos a la base, e información suficiente para reconstruir mapas de interiores de viviendas.
El mismo autor de este hallazgo aclaró en su momento que no hackeó los servidores de forma consciente. Lo que hizo fue extraer el token privado de su propio robot y autenticarse como cliente legítimo. El fallo estaba en que el backend no limitaba correctamente qué podía consultar después.
DJI Romo A Omicrono
Para descifrar estos protocolos recurrió a Claude Code, la versión de inteligencia artificial (IA) centrada en desarrollo del chatbot de Anthropic y que fue clave en el procedimiento de ingeniería inversa. En ese momento, DJI ya estaba investigando el problema, y afirmaron haber publicado varios parches en febrero.
Pese a la presencia de estos parches (aplicados supuestamente el 8 y el 10 de febrero), Azdoufal logró el control de todos estos robots aspiradores DJI Romo. Dispositivos que, además, contaban con cámaras, micrófonos y con navegación visual, abriendo una potencial brecha de seguridad en este caso.
![Larry Ellison (CTO de Oracle) durante su keynote en el Oracle CloudWorld.](["https:\/\/s3.elespanol.com\/2024\/09\/11\/invertia\/disruptores\/grandes-actores\/tecnologicas\/885171475_249083799_320x180.jpg"])
DJI no ha mencionado el nombre concreto del ingeniero en el correo donde anuncian la recompensa y aseguró que comenzarían a implementar numerosas actualizaciones para poner coto a la vulnerabilidad.
Además, en un comunicado reciente, DJI insistió en la idea de que ya estaban revisando estos fallos por sí solos y que los hallazgos sirvieron para respaldar "el proceso de remediación en curso, que ya ha concluido".
DJI Romo P Omicrono
También aclararon que no han encontrado "evidencia de uso indebido" en los datos del usuario y que el problema de validación de backend de la app detectado por la propia DJI afectó tanto a productos Romo como a algunos DJI Power.
En el comunicado DJI lanza igualmente un guiño a Azdoufal y al resto de investigadores de ciberseguridad independientes que ayudaron a descubrir este fallo, asegurando que revisan cada informe que se publica de forma cuidadosa.
