I robot aspirapolvere sono ormai presenti in centinaia di migliaia di case italiane. Sono comodi, funzionano bene e aiutano nella gestione quotidiana, ma restano dispositivi connessi a server remoti, dotati di videocamere, sensori LiDAR e microfoni.

Una vulnerabilità scoperta nei robot DJI Romo apre ora un interrogativo serio sulla sicurezza dei robot domestici e sulla gestione dei dati sensibili raccolti all’interno delle abitazioni.

Come è nata la scoperta

Sammy Azdoufal non stava cercando una falla di sicurezza. Il suo obiettivo era molto più semplice: controllare il proprio DJI Romo con un controller PlayStation 5, un classico progetto da appassionato.

Analizzando l’architettura del sistema DJI Home e decifrando i protocolli di comunicazione con l’aiuto di Claude Code, si è però trovato davanti a qualcosa di inaspettato: non solo era riuscito ad accedere al proprio robot, ma poteva accedere all’intera flotta di circa 6.700 robot distribuiti in 24 Paesi, Italia inclusa.

Il tutto senza forzare porte, senza exploit complessi, senza hacking sofisticato. Solo utilizzando credenziali legittime.

Il problema: autenticazione senza autorizzazione

I robot DJI Romo comunicano con i server cloud dell’azienda tramite protocollo MQTT (Message Queuing Telemetry Transport), uno standard molto diffuso nel mondo IoT.

Una volta connesso al topic di un altro robot, il ricercatore riceveva in tempo reale:

L’architettura prevede:

Una volta connesso al topic di un altro robot, il ricercatore riceveva in tempo reale:

• Livello batteria
• Posizione nella mappa della casa
• Stato operativo
• Modalità di pulizia
• Potenza di aspirazione

Ma non solo telemetria. Attraverso i topic MQTT era possibile anche inviare comandi: avviare pulizia, far tornare il robot alla base, spostarlo in una zona specifica e attivare o disattivare la telecamera.

Il punto più critico: video e microfono senza PIN

I robot DJI Romo integrano telecamere per navigazione e sorveglianza domestica. L’accesso al feed video dall’app ufficiale è protetto da PIN.

Tuttavia, bypassando l’app e accedendo direttamente al flusso tramite MQTT, il ricercatore è riuscito a ottenere lo stream video H.264 senza che venisse richiesto alcun PIN.

Era inoltre possibile ascoltare l’audio del microfono e scaricare la mappa completa della casa.

Un problema che arriva nel momento peggiore per DJI

La scoperta arriva mentre DJI è già sotto pressione negli Stati Uniti, dove è accusata di possibili rischi per la sicurezza nazionale. I droni DJI sono già vietati in ambiti governativi e militari e si discute di estendere restrizioni ai prodotti consumer.

La vulnerabilità dimostra che anche con server localizzati negli Stati Uniti (DJI sostiene di utilizzare AWS per i dati americani), una cattiva gestione dei controlli di accesso può rendere inefficace qualsiasi promessa sulla residenza dei dati.

La risposta di DJI

DJI ha inizialmente dichiarato che la vulnerabilità fosse stata risolta prima della divulgazione pubblica. Tuttavia, secondo Azdoufal, anche dopo un primo aggiornamento di febbraio era ancora possibile accedere al feed video senza PIN.

Il 15 febbraio DJI ha comunicato che il problema è stato risolto con un aggiornamento cloud-side, senza necessità di aggiornare il firmware. Il ricercatore sostiene però che alcune vulnerabilità minori persistano.

Recensione completa DJI Romo P

Se vuoi approfondire il prodotto dal punto di vista delle prestazioni, della qualità costruttiva e dell’esperienza reale di utilizzo, trovi qui sotto la mia recensione completa del DJI Romo P.

Dove acquistare DJI Romo P

Conclusione

La domanda che resta è inevitabile: se questo è accaduto con un brand di primo piano, quanto possiamo considerare sicuri gli altri robot domestici presenti nelle nostre case?

💡 Se stai valutando l’acquisto, trovi il link Amazon qui sopra. Acquistando tramite link affiliati supporti il mio lavoro senza alcun costo aggiuntivo per te.