Scopri anche

• Vulnerabilità DJI Romo: accesso non autorizzato a 7.000 robot aspirapolvere
• Oura Ring: il modello AI per la salute femminile e il brevetto per il controllo smart home
• Marathon: Bungie adotta tolleranza zero contro i cheater con ban permanenti immediati
• Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
• Il mercato dei data center accelerator verso i 130 miliardi di dollari entro il 2032
• Resistenza ai farmaci HIV e strategie terapeutiche: nuovi dati e approcci clinici
• Wikipedia Enterprise: le Big Tech pagano per l'accesso API nell'era dell'AI
• Netflix rimuove la funzione Cast: utenti smart TV e piano con pubblicità colpiti dall'aggiornamento
• Le chiavi BootROM della PlayStation 5 trapelano online: una vulnerabilità hardware irreversibile
• LLM sovrani europei: investimenti, modelli nazionali e la sfida dell'infrastruttura
• AI e mercati: l'impatto dell'automazione sui modelli di business e la correlazione con le criptovalute
• La Sicurezza degli LLM Minacciata: Dirottamento e Fughe di Prompt nel 2025
• Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
• Intelligenza artificiale e memoria: la corsa ai dati che sta trasformando i mercati tecnologici
• Sicurezza e rischi dei Large Language Models: framework, vulnerabilità e normative
• Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
• GeForce NOW: Arrivo in India con Server a Mumbai e Hardware RTX di Ultima Generazione
• OpenClaw: perché le grandi aziende tech bloccano l'agente AI autonomo
• Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
• L'aumento dei prezzi dell'hardware spinge verso il cloud gaming

Vulnerabilità nei robot DJI Romo: accesso non autorizzato a 7.000 dispositivi

Vulnerabilità nei robot DJI Romo: accesso non autorizzato a 7.000 dispositivi

Un progetto personale di sviluppo software ha portato alla scoperta di una vulnerabilità critica nell'infrastruttura cloud di DJI, permettendo l'accesso non autorizzato a circa 7.000 robot aspirapolvere distribuiti in 24 paesi. Sammy Azdoufal, ingegnere software, stava sviluppando un'applicazione per controllare il proprio DJI Romo con un controller PlayStation quando ha rilevato un difetto nella gestione delle autorizzazioni lato server.

L'obiettivo iniziale era comprendere il protocollo di comunicazione tra il robot e i server DJI per creare un sistema di controllo personalizzato. Durante il processo di reverse engineering, eseguito con l'ausilio di Claude Code, l'assistente di programmazione basato su intelligenza artificiale sviluppato da Anthropic, Azdoufal ha estratto un token di autenticazione valido dall'app DJI Home. Il backend dell'azienda ha risposto concedendo privilegi di accesso estesi a migliaia di dispositivi non associati al suo account.

Il meccanismo tecnico della vulnerabilità

⬆ Torna su

Il problema risiede nell'implementazione del protocollo MQTT (Message Queuing Telemetry Transport), ampiamente utilizzato nei sistemi IoT per lo scambio di messaggi in tempo reale. L'infrastruttura DJI si articola su tre componenti principali: un'API di autenticazione cloud, un broker MQTT centralizzato e i client (robot e applicazioni mobili).

In un'architettura sicura, ogni utente dovrebbe poter accedere esclusivamente ai topic associati al proprio dispositivo. Tuttavia, il sistema verificava l'autenticazione dell'utente senza controllare l'effettiva autorizzazione ad accedere ai dati di uno specifico numero di serie. Modificando il numero di serie nelle richieste, era possibile sottoscriversi ai canali di altri robot e ricevere il relativo traffico dati.

La vulnerabilità è classificabile come IDOR (Insecure Direct Object Reference), un errore logico nella gestione dei privilegi backend. Il traffico era cifrato tramite TLS, ma come ha osservato Azdoufal, la crittografia del canale non protegge da accessi non autorizzati quando i controlli interni risultano lacunosi.

Dati esposti e rischi per la privacy

⬆ Torna su

La falla consentiva l'accesso a una gamma significativa di informazioni sensibili. Attraverso il pannello di controllo era possibile visualizzare feed video in diretta dalle telecamere integrate, attivare i microfoni, consultare lo stato operativo dei robot e generare mappe bidimensionali degli ambienti domestici. L'analisi degli indirizzi IP permetteva inoltre di dedurre la posizione geografica approssimativa dei dispositivi.

Per verificare la concretezza del problema, Azdoufal ha contattato Thomas Ricker, giornalista di The Verge, chiedendogli il numero di serie del proprio DJI Romo. Con i soli 14 caratteri del numero seriale, senza ricorrere a tecniche di hacking tradizionali, ha potuto osservare in tempo reale il robot pulire il soggiorno del giornalista con l'80% di batteria residua e visualizzare la mappa completa della sua abitazione.

L'accesso non autorizzato al feed video e ai microfoni trasforma un elettrodomestico domestico in uno strumento di sorveglianza potenziale. I dati arrivavano ai server ogni pochi secondi: numeri seriali, mappe delle stanze, percorsi di pulizia, ostacoli rilevati. Un flusso continuo di informazioni che permetterebbe di creare profili dettagliati su orari di presenza, layout delle abitazioni e abitudini quotidiane.

La risposta di DJI

⬆ Torna su

La vulnerabilità è stata segnalata privatamente a DJI attraverso The Verge. L'azienda ha dichiarato di aver individuato il problema durante una revisione interna e di aver avviato immediatamente la mitigazione. Due aggiornamenti sono stati distribuiti: una prima patch l'8 febbraio 2026 e una seconda il 10 febbraio. Gli aggiornamenti sono stati applicati automaticamente tramite il sistema OTA (Over-The-Air), senza richiedere intervento da parte degli utenti.

DJI ha specificato che i dati vengono trasmessi tramite TLS e che ha distribuito aggiornamenti automatici per risolvere la vulnerabilità. L'azienda ha inoltre affermato che gli accessi anomali sarebbero stati estremamente limitati. La correzione è avvenuta lato server, senza necessità di aggiornamenti firmware sui dispositivi.

Interventi tipici in questi casi includono la revisione del sistema di autenticazione, la segregazione dei tenant nel backend e la validazione dei token mediante controlli di contesto e proprietà. L'adozione di meccanismi di access control più granulari e di audit log server-side rappresenta una misura standard per prevenire accessi non autorizzati.

Il contesto dei dispositivi smart home

⬆ Torna su

Il caso DJI Romo si inserisce in un quadro più ampio di problematiche di sicurezza nei dispositivi IoT domestici. I robot aspirapolvere moderni integrano telecamere, sensori LiDAR, microfoni e connettività cloud, raccogliendo dati ad alta risoluzione sugli ambienti in cui operano. La presenza simultanea di questi sensori trasforma i dispositivi in potenziali strumenti di sorveglianza se compromessi.

Nell'ottobre 2024, i robot ECOVACS DEEBOT X2 sono stati oggetto di attacchi reali: hacker hanno preso il controllo di diversi dispositivi, utilizzandoli per trasmettere insulti attraverso gli altoparlanti integrati, inseguire animali domestici e spiare i proprietari tramite le telecamere. I ricercatori Dennis Giese e Braelynn Luedtke avevano presentato al DEF CON 32 le vulnerabilità dei robot del brand cinese, dimostrando la possibilità di ottenere privilegi root nel sistema operativo Linux, leggere le credenziali WiFi e controllare telecamere e microfoni da distanze superiori a 100 metri.

Considerazioni sulla sicurezza IoT

⬆ Torna su

Le raccomandazioni standard per gli utenti includono il cambio regolare delle password, l'attivazione dell'autenticazione a due fattori dove disponibile e il mantenimento del firmware aggiornato. Tuttavia, quando le vulnerabilità risiedono nel backend del produttore e i controlli sui permessi sono lacunosi, le azioni a disposizione dell'utente risultano limitate.

Una misura consigliata è la disattivazione della telecamera via software quando non strettamente necessaria. Collegare i dispositivi smart a una rete separata da quella principale di casa aggiunge un livello di protezione. I produttori dovrebbero adottare un approccio basato su sicurezza by design, implementando segregazione dei dati tra utenti, autenticazione a più fattori per l'accesso alle API, crittografia end-to-end per i flussi audio e video, e audit di sicurezza indipendenti.

L'uso di strumenti di sviluppo assistiti da intelligenza artificiale può ridurre la barriera tecnica necessaria per eseguire reverse engineering e test di sicurezza. Questo scenario aumenta il rischio che vulnerabilità latenti possano essere individuate da attori malevoli con competenze tecniche limitate.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La vulnerabilità nei robot DJI Romo evidenzia la criticità dei controlli di autorizzazione nei backend IoT e le conseguenze quando dispositivi con telecamere e microfoni vengono collegati al cloud senza adeguate protezioni.

• Scenario 1: I produttori di dispositivi smart home potrebbero intensificare i controlli di sicurezza sui backend MQTT, implementando verifiche di autorizzazione più granulari per ogni richiesta.
• Scenario 2: Gli utenti potrebbero diventare più cauti nell'adozione di dispositivi con sensori sensibili, valutando con maggiore attenzione le politiche di gestione dei dati dei produttori.
• Scenario 3: L'accessibilità di strumenti di sviluppo avanzati potrebbe abbassare la soglia per l'individuazione di vulnerabilità, spingendo verso audit di sicurezza più frequenti.

Cosa monitorare

⬆ Torna su

• Eventuali ulteriori segnalazioni di vulnerabilità nei backend di dispositivi IoT domestici.
• L'adozione di pratiche di sicurezza by design da parte dei produttori di robot aspirapolvere.
• Le risposte regolatorie agli incidenti che coinvolgono dispositivi con capacità di sorveglianza integrata.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.howtechismade.com/news/dji-romo-bucati-ecco-i-problemi-di-sicurezza-dei-robot-aspirapolvere-e-non-solo/
• https://italy.news-pravda.com/world/2026/02/24/377678.html
• https://www.ilsoftware.it/controlla-il-suo-robot-con-un-joystick-scopre-una-falla-e-puo-accedere-a-7-000-case-nel-mondo/
• https://www.corriere.it/tecnologia/26_febbraio_23/un-uomo-ha-preso-casualmente-il-controllo-di-7-000-aspirapolvere-robot-776cf430-e22f-4b5e-8c91-542bf230axlk.shtml
• https://www.macitynet.it/prendere-controllo-robot-aspirapolvere
• https://www.pensout.com/robot-dji-romo/
• https://www.tuttotech.net/news/2026/02/18/problema-sicurezza-robot-aspirapolvere.html