Un ingegnere del software ha accidentalmente avuto accesso ai feed della telecamera in tempo reale, all’audio del microfono e ai dati sulla posizione di quasi 7.000 robot aspirapolvere DJI in 24 paesi. L’incidente evidenzia una grave falla di sicurezza nei dispositivi, sollevando interrogativi sulle implicazioni sulla privacy di una tecnologia di casa intelligente sempre più connessa.
Accesso accidentale, scala globale
Sammy Azdoufal, mentre tentava di creare un’app di controllo remoto personalizzata per il suo aspirapolvere DJI Roborock, ha scoperto una vulnerabilità nel backend che gli ha concesso l’accesso a un numero sorprendente di altri dispositivi. Sfruttando un assistente di codifica AI per decodificare la comunicazione del robot con i server cloud di DJI, si è imbattuto in un problema di credenziali. Invece di limitarsi al suo vuoto, i server lo trattavano come il proprietario di altre migliaia. Ciò significava che poteva visualizzare i flussi delle telecamere in tempo reale, attivare i microfoni, compilare planimetrie e identificare posizioni approssimative tramite indirizzi IP.
Non si tratta di hacking; si tratta di un fallimento sistemico nell’autenticazione. La vulnerabilità ha messo in luce un esercito di robot connessi a Internet che, nelle mani sbagliate, avrebbero potuto facilmente essere utilizzati come armi per la sorveglianza.
Risposta di DJI e implicazioni più ampie
DJI afferma di aver risolto il problema con due aggiornamenti distribuiti a febbraio, affermando che non era richiesta alcuna azione da parte dell’utente. Tuttavia, l’incidente sottolinea una tendenza in crescita: i dispositivi domestici intelligenti sono bersagli attraenti per malintenzionati. Poiché le famiglie adottano sempre più robot, compresi modelli umanoidi avanzati, le vulnerabilità diventeranno probabilmente più difficili da rilevare.
Il robot Romo, venduto al dettaglio per circa 2.000 dollari, si affida alla raccolta costante di dati – feed visivi e planimetrie dettagliate – per funzionare in modo autonomo. Questi dati sono parzialmente archiviati sui server DJI, creando un punto di guasto centralizzato. La scoperta dell’ingegnere dimostra che questi sistemi spesso danno priorità alla comodità rispetto alla sicurezza.
Un modello più ampio di preoccupazioni sulla privacy
La vulnerabilità di DJI non è un caso isolato. Le recenti controversie che coinvolgono le telecamere Ring, i campanelli di Google Nest e le continue preoccupazioni geopolitiche che circondano i produttori tecnologici cinesi illustrano un modello più ampio di erosione della privacy nello spazio della casa intelligente. I legislatori negli Stati Uniti hanno messo in guardia sui rischi per la sicurezza dei dispositivi di fabbricazione cinese, anche se le prove concrete rimangono oscure.
La realtà è che molti dispositivi domestici intelligenti hanno una storia di pratiche di sicurezza discutibili, nonostante operino nelle aree più private della nostra vita. Le ricerche di mercato indicano che i consumatori non solo adottano questi dispositivi ma ne cercano attivamente di più. Entro il 2020, oltre 54 milioni di famiglie statunitensi avevano già installato almeno un dispositivo domestico intelligente.
Il futuro della domotica
Aziende come Tesla e Figure stanno gareggiando per sviluppare robot umanoidi completamente autonomi per uso domestico. Queste macchine richiederanno un accesso senza precedenti ai dettagli più intimi delle nostre case per funzionare in modo efficace. Ciò solleva una prospettiva agghiacciante: per gli autori malintenzionati, il potenziale di sfruttamento è immenso.
La scoperta accidentale di Azdoufal serve a ricordare che la fretta di abbracciare la tecnologia della casa intelligente deve essere mitigata da rigorose misure di sicurezza. Anche se voleva semplicemente controllare il suo robot con un joystick, la sua esperienza ha messo in luce un difetto fondamentale nell’architettura dei dispositivi connessi. Con l’avanzare della tecnologia, il confine tra comodità e sorveglianza continuerà a essere sempre più sfumato, richiedendo una maggiore vigilanza sia da parte dei produttori che dei consumatori.
