Sammy Azdoufal, ingegnere informatico, aveva un’idea tutto sommato innocua: collegare il suo robot aspirapolvere al joypad della PlayStation 5 per guidarlo manualmente in giro per casa. Un piccolo esperimento domestico, più per divertimento che per necessità.
Quello che non si aspettava era di imbattersi, quasi per caso, in una grave falla di sicurezza che gli ha dato accesso a circa settemila robot aspirapolvere distribuiti in almeno 24 Paesi.
Il dispositivo al centro della vicenda è il Romo, prodotto da DJI, azienda cinese nota soprattutto per i suoi droni. A seconda del modello, il robot può arrivare a costare fino a 1.300 euro. È dotato di una base di ricarica ingombrante, sensori per orientarsi negli ambienti domestici e, soprattutto, videocamere e microfoni che permettono funzioni avanzate come la mappatura delle stanze e i comandi vocali.
Azdoufal ha raccontato tutto a The Verge, chiarendo un punto fondamentale: non ha hackerato DJI. Non ha forzato password né aggirato sistemi di protezione. Stava semplicemente cercando di capire come far dialogare il joypad con il robot. Per farlo, doveva interfacciarsi con i server dell’azienda, dove vengono salvati dati e configurazioni dei dispositivi.
Robot e app comunicano con i server tramite un token, cioè una chiave digitale che certifica l’identità dell’utente senza dover inserire ogni volta email e password. Analizzando il sistema, anche con l’aiuto di un assistente di intelligenza artificiale, Azdoufal è riuscito a ricostruire il meccanismo di comunicazione e a individuare il token associato al suo account.
Il problema è emerso quando ha utilizzato quel token per autenticarsi: i server di DJI lo hanno riconosciuto come proprietario non di un solo robot, ma di migliaia di dispositivi. L’autenticazione funzionava, il token era valido e regolarmente generato dall’azienda. Ma l’autorizzazione era sbagliata. In pratica, il sistema gli concedeva privilegi enormemente superiori a quelli che avrebbe dovuto avere.
Le implicazioni per la privacy erano evidenti. Con quell’accesso era possibile visualizzare in diretta le immagini riprese dalle telecamere dei robot mentre si muovevano nelle case, attivare i microfoni per ascoltare l’audio ambientale, consultare le mappe dettagliate delle abitazioni e persino risalire, con una certa approssimazione, alla posizione geografica dei dispositivi. Tutto questo senza rubare credenziali o violare account: era il sistema stesso ad aprire la porta.
Dopo aver segnalato pubblicamente la scoperta e averne parlato, Azdoufal ha contattato direttamente DJI. L’azienda ha corretto la vulnerabilità tramite un aggiornamento automatico distribuito ai dispositivi, impedendo che un singolo token potesse garantire accesso a migliaia di robot. Secondo alcune verifiche riportate dalla stessa testata, però, la distribuzione dell’aggiornamento sarebbe avvenuta con tempi più lunghi rispetto a quanto dichiarato dall’azienda. DJI ha promesso ulteriori miglioramenti sul fronte sicurezza, senza fornire dettagli tecnici aggiuntivi.
Non è la prima volta che emergono problemi di questo tipo nei dispositivi domestici connessi a Internet: videocamere di sorveglianza, assistenti vocali, serrature smart. Le associazioni che si occupano di tutela della privacy segnalano periodicamente errori di progettazione che, in mani sbagliate, possono trasformarsi in strumenti di sorveglianza involontaria.
A volte si tratta di prodotti economici realizzati da aziende poco attente alla sicurezza. In altri casi, invece, le criticità coinvolgono colossi tecnologici come Amazon o Google. E secondo molti esperti episodi del genere sono destinati ad aumentare: il mercato dei dispositivi smart per la casa è in piena espansione e l’integrazione con sistemi di intelligenza artificiale rende le infrastrutture ancora più complesse.
Quanto ad Azdoufal, il suo progetto iniziale è comunque andato a buon fine. Oggi può davvero guidare il suo robot aspirapolvere con il controller della PlayStation. Solo che, nel frattempo, ha anche dimostrato quanto fragile possa essere l’equilibrio tra comodità tecnologica e sicurezza.
