El Día de San Valentín, publicamos una historia que desde entonces ha dado la vuelta al mundo: cómo un hombre, simplemente intentando controlar su robot aspirador DJI con un mando de PlayStation, descubrió una red de 7.000 robots DJI controlables remotamente, listos para permitirle echar un vistazo a los hogares de otras personas.
Para ser claros, DJI ya había comenzado a abordar algunas de las vulnerabilidades relacionadas antes de que Sammy Azdoufal mostrara a The Verge el alcance de su acceso. Sin embargo, no estaba claro si DJI le pagaría por su descubrimiento, especialmente después de cómo trató al investigador de seguridad Kevin Finisterre en 2017, o con qué rapidez DJI podría parchear completamente las vulnerabilidades adicionales que Azdoufal había descubierto.
Hoy, tenemos algunas respuestas.
DJI pagará a Azdoufal 30.000 dólares por un único descubrimiento, según un correo electrónico que compartió con The Verge, sin especificar cuál es ese descubrimiento. Aunque DJI no nombra a Azdoufal, confirma a The Verge que ha “recompensado” a un investigador de seguridad anónimo por su trabajo.
DJI tampoco reveló qué descubrimiento está pagando, pero sí afirma haber solucionado la vulnerabilidad adicional que Azdoufal encontró, que permitía ver la transmisión de video de un DJI Romo sin necesidad de un código PIN. “Podemos confirmar que la observación de seguridad del código PIN se abordó a finales de febrero”, declaró la portavoz de DJI, Daisy Kong.
Quizás se pregunte: ¿qué pasa con la vulnerabilidad que nos pareció tan grave que nos negamos a describirla en nuestra historia original? DJI me dice que también está trabajando en ella: “También hemos comenzado a actualizar todo el sistema. Esto incluye una serie de actualizaciones, que prevemos que se implementen por completo en un mes”.
DJI también ha publicado hoy una entrada de blog pública sobre el fortalecimiento de la seguridad del DJI Romo, en la que continúa afirmando que descubrió el problema original por sí misma, al tiempo que reconoce a “dos investigadores de seguridad independientes” por encontrar el mismo problema. https://viewpoints.dji.com/blog/security-and-continuous-improvement-romos-path-forward
En la publicación del blog, DJI parece sugerir que todo ya está resuelto con el Romo: “Se han implementado actualizaciones para resolver completamente el problema”. Sin embargo, no solo había una vulnerabilidad, y DJI le dijo a The Verge que podría tardar hasta un mes más.
En la publicación del blog, DJI también afirma que el Romo ya cuenta con las certificaciones de seguridad ETSI, UE y UL, lo que podría plantear interrogantes sobre la utilidad real de esas certificaciones si un solo individuo con Claude Code pudo acceder a toda una red de robots aspiradores. DJI también afirma que continuará probando, parcheando y sometiendo el Romo y su aplicación a auditorías de seguridad independientes de terceros.
DJI escribe que está “comprometido a profundizar nuestra colaboración con la comunidad de investigación de seguridad y pronto presentaremos nuevas formas para que los investigadores colaboren con nosotros”.
