Ce que DJI propose au marché de la maison intelligente DJI Romo Les robots aspirateurs sont apparus avec une grave faille de sécurité à l’échelle mondiale. Un chercheur en sécurité a révélé qu'il était capable d'accéder à des milliers de Roms différents tout en essayant simplement de contrôler à distance son propre appareil. De plus, cet accès a été réalisé sans aucune infiltration du serveur.
Le chercheur a mis son Romo nouvellement acheté dans un PlayStation 5 Développement d'une application simple à gérer avec votre bras. Cependant, l'application est celle de DJI Avec des serveurs basés sur MQTT Lorsqu'il a été contacté, il a reçu une réponse non seulement d'un seul appareil, mais de près de 7 000 robots à travers le monde. Ainsi, le numéro de série des appareils, les pièces nettoyées, le niveau de la batterie et les paquets de données envoyés sont devenus visibles.
De plus, les messages MQTT sont transmis toutes les trois secondes ; Il indiquait dans quelle pièce se trouvait le robot, quelle distance il avait parcourue et quand il était revenu à son unité de chargement. En neuf minutes, plus de 6 700 appareils de 24 pays différents ont été ajoutés au système et plus de 100 000 paquets de données ont été collectés. De plus, DJI Alimenter des centrales électriques portables Puisqu’il utilise la même infrastructure, l’accès total a dépassé les 10 000 appareils.
L'enquêteur a non seulement vu la liste des appareils, mais a également visualisé instantanément un Romo spécifique avec un numéro de série spécifique. Par exemple, la saisie du numéro de série à 14 chiffres a confirmé que l'appareil avait nettoyé le salon et qu'il était chargé à 80 %. De plus, le plan de maison en deux dimensions créé par le robot a été transféré sur un ordinateur portable distant.
Un chercheur découvre une vulnérabilité d'autorisation dans les serveurs DJI
L'accès au flux de la caméra de certains appareils a également été fourni lors de la démonstration en direct. L'enquêteur a visionné les images à distance en désactivant le code PIN de sécurité de son Romo. Un responsable informatique en France a également confirmé qu'il pouvait voir le flux de la caméra de son appareil sans le coupler avec la version en lecture seule de l'application.
DJI a annoncé que le problème avait été résolu en premier lieu. L'entreprise crée ensuite un backend manque de vérification de l'autorisation Il a admis qu'elle était disponible et a déclaré avoir publié deux mises à jour distinctes les 8 et 10 février. Les mises à jour étaient déployées automatiquement et aucune action supplémentaire n'était requise de la part de l'utilisateur.
L'entreprise garantit que la communication entre l'appareil et le serveur est chiffré avec TLS et a souligné que les données ne sont pas transmises en texte clair. Cependant, le chercheur a déclaré qu'un client autorisé peut s'abonner à tous les messages sans contrôle d'accès basé sur le sujet sur MQTT. Le cryptage de la ligne de transmission ne cache pas les données de la couche application aux autres clients autorisés.
DJI a annoncé que les données Romo en Europe sont conservées dans l'infrastructure AWS basée aux États-Unis. En outre, la société a déclaré qu'elle exécutait depuis longtemps un programme de bug bounty et qu'elle avait évalué les résultats dans ce contexte. De plus, il a été signalé que le premier correctif n'avait pas été appliqué à tous les nœuds de service et que les sections restantes avaient été redémarrées avec la deuxième mise à jour.
D’un autre côté, le chercheur a déclaré qu’il existait deux vulnérabilités distinctes qui, selon lui, n’étaient toujours pas corrigées. L’un d’eux concerne la possibilité pour le propriétaire de l’appareil d’accéder à son propre flux de caméra sans saisir de code PIN. Les détails de l’autre vulnérabilité n’ont pas encore été partagés avec le public.
Il n’est pas nouveau que les appareils domestiques intelligents fonctionnent via le cloud ; Cependant, dans les systèmes contenant des caméras et des microphones, les contrôles d’accès sont directement liés à la confidentialité. en 2024 écovacs La saisie de robots aspirateurs et le signalement de vulnérabilités de caméras en direct sur certains modèles en Corée du Sud en 2025 ont déjà amené des risques similaires à l’ordre du jour.
Avec cet incident Vulnérabilité DJI Romon'est plus seulement le problème d'un modèle unique et a remis en discussion la communication basée sur le cloud dans l'écosystème de la maison intelligente.
blog technologiquepartage régulièrement son agenda technologique sur différentes plateformes. Il transmet instantanément les principales actualités de la chaîne WhatsApp, propose du contenu actualisé via Google News, résume les gros titres des comptes Instagram et X et complète le contenu avec des critiques de produits et des explications détaillées sur la chaîne YouTube.
