Come una sola persona ha ottenuto il controllo di 7mila robot aspirapolvere

Sammy Azdoufal voleva solo controllare il suo robot aspirapolvere con un joypad per console di videogiochi, ma si è ritrovato ad avere accesso a circa settemila altri robot sparpagliati in giro per il mondo. Azdoufal è un ingegnere informatico e ha scoperto per caso una grave falla di sicurezza degli aspirapolvere automatici prodotti da DJI, la società cinese famosa soprattutto per i suoi droni, con potenziali ripercussioni per la privacy di molte persone.

L’accesso alle migliaia di robot significava poterne vedere lo stato, consultare le mappe delle abitazioni in cui sono attivi e controllare le loro videocamere e i microfoni ambientali, senza particolari limitazioni. Azdoufal ha raccontato a The Verge di non avere violato nessun sistema di DJI, ma di essersi semplicemente trovato quegli accessi disponibili mentre stava facendo un esperimento sul proprio robot aspirapolvere, appunto per controllarlo con un joypad della sua PlayStation 5. Ha segnalato il problema a DJI, che ha sistemato la falla di sicurezza con un aggiornamento automatico, ma la questione pone diversi interrogativi sull’affidabilità degli oggetti connessi a Internet che abbiamo in casa.

Il robot di Azdoufal è un “Romo”, un robot aspirapolvere che DJI ha messo in vendita lo scorso anno e che a seconda dei modelli può costare fino a 1.300 euro. Ha una base di ricarica grande più o meno quanto un frigobar, mentre il dispositivo che si muove per la casa è simile ai tanti altri robot aspirapolvere, con sensori di vario tipo per orientarsi nelle stanze e gestirne la pulizia. Le impostazioni sono regolate attraverso un’applicazione con cui si possono decidere gli orari e le modalità di pulizia, che poi il robot esegue senza necessità di ulteriori interventi umani.

Come per altri robot aspirapolvere, anche nel caso del Romo diversi dati non sono salvati unicamente sul dispositivo e sulla app, ma anche a distanza sui computer (server) di DJI. Per controllare il robot col suo joypad, Azdoufal aveva quindi bisogno di collegarsi ai server dell’azienda, in modo da gestirne alcune funzionalità. Non è una funzione prevista da DJI, di conseguenza Azdoufal si era dovuto industriare usando un assistente di intelligenza artificiale, che lo aveva aiutato a ricostruire il modo in cui il Romo comunica con i server di DJI.

Il robot e l’applicazione si fanno riconoscere dai server attraverso un “token”, cioè una chiave digitale che dimostra al server che si è autorizzati ad accedere a certe funzioni o dati, senza dover inviare ogni volta tutte le credenziali (come la propria mail e la password). Azdoufal aveva scoperto il token associato al proprio account e lo aveva usato per farsi riconoscere dai server, ma con sua grande sorpresa ha notato che quando lo faceva i sistemi di DJI lo riconoscevano come il proprietario di migliaia di robot, dandogli libero accesso a circa 7mila dispositivi in almeno 24 paesi.

In pratica, l’autenticazione funzionava (il token era genuino e fornito dall’azienda), ma l’autorizzazione era sbagliata e permetteva a Azdoufal di fare molte più cose di quelle che avrebbe potuto normalmente fare. In questo modo era possibile vedere in diretta ciò che stavano riprendendo i robot aspirapolvere con le loro telecamere, usate per orientarsi nelle stanze, attivare i microfoni per sentire le conversazioni ambientali (i robot hanno microfoni per i comandi vocali), ottenere mappe delle case e attraverso altri sistemi capire con una certa approssimazione dove si trovassero geograficamente. Avveniva tutto senza violazioni di password o altre credenziali, perché era il sistema stesso ad autorizzare Azdoufal.

Oltre avere segnalato la circostanza sui social network e a The Verge, una delle principali testate tecnologiche statunitensi, Azdoufal si è messo in contatto con DJI, che ha provveduto a risolvere la falla di sicurezza evitando che con un token si potesse avere accesso a migliaia di dispositivi. L’aggiornamento è stato diffuso in automatico, ma secondo alcune verifiche di The Verge sarebbe avvenuto in tempi più lunghi rispetto a quelli comunicati dall’azienda. DJI si è anche impegnata a migliorare ulteriormente la sicurezza del proprio sistema, ma non ha fornito altre informazioni.

Non è la prima volta che si scoprono gravi falle di sicurezza nei dispositivi elettronici domestici sempre collegati a Internet, come videocamere di sicurezza e assistenti vocali. Varie associazioni per la tutela della privacy segnalano periodicamente la scoperta di errori di programmazione, sfruttati poi da utenti malintenzionati, per spiare nelle abitazioni. A volte i problemi sono riconducibili all’uso di dispositivi prodotti da aziende poco raccomandabili, che vendono a basso costo i loro prodotti e trascurano gli aspetti di sicurezza, in altri casi coinvolgono aziende più conosciute come Amazon e Google.

Problemi di questo tipo saranno sempre più frequenti, considerato che il settore è in forte espansione e si prevede che continuerà a crescere anche grazie all’integrazione di nuovi servizi offerti dai sistemi di intelligenza artificiale. L’innocente esperimento di Azdoufal diventato un caso mondiale è comunque andato a buon fine: ora può controllare il suo robot con il joypad.