Ingenieros utilizan Claude para ingeniería inversa del robot aspirador DJI Romo de DJI, y accidentalmente obtienen el control de 7,000 dispositivos en todo el mundo y acceso a la privacidad del hogar. También se reportan filtraciones de datos personales en juguetes AI fabricados en China, lo que genera preocupaciones de seguridad.
Preocupaciones de seguridad en el robot aspirador DJI Romo de DJI
¿Solo querías controlar el robot aspirador con un mando PS5 y, de repente, tomaste el control de 7,000 robots en todo el mundo?
En febrero de este año, el ingeniero Sammy Azdoufal reveló a The Verge que originalmente solo quería probar el control remoto del robot aspirador DJI Romo de DJI con un mando de PS5, y luego, mediante el asistente de programación AI Claude Code, realizó ingeniería inversa del protocolo de comunicación entre el dispositivo y los servidores en la nube de DJI.
Al conectar su propia aplicación con el servidor, el resultado fue que, en lugar de solo controlar su propio dispositivo, descubrió que podía acceder al control de aproximadamente 7,000 robots aspiradores de DJI en todo el mundo.
Azdoufal afirmó que podía controlar remotamente estos robots, ver y escuchar a través de las cámaras en tiempo real, e incluso ver cómo dibujaban planos de planta que mostraban con precisión la forma y tamaño de cada habitación.
La vulnerabilidad fue confirmada por medios, quienes demostraron que con solo el número de serie se puede acceder a la privacidad del hogar
Para verificar la vulnerabilidad del DJI Romo, un periodista de The Verge solicitó a su colega Thomas Ricker, quien acababa de completar una evaluación, que proporcionara el número de serie de 14 dígitos del robot aspirador DJI Romo, y Azdoufal, solo con ese número, logró localizar su robot en el sistema y determinar con precisión que estaba limpiando la sala de estar y que la batería tenía un 80% de carga.
Fuente de la imagen: sitio web oficial de DJI, DJI Romo, robot aspirador de DJI con preocupaciones de seguridad
En solo unos minutos, este robot, que se encontraba en otro país, generó y envió un plano de la casa con gran precisión. Azdoufal mostró a los periodistas que pudo evadir la contraseña de seguridad y abrir la transmisión en vivo de su propio dispositivo.
Él enfatizó que no hackeó los servidores de DJI, sino que simplemente extrajo las credenciales privadas del dispositivo, y el servidor le envió datos de miles de otros usuarios, todos en texto claro.
DJI admite problemas en la verificación de permisos y afirma que ya se han corregido
DJI, una de las principales empresas chinas de fabricación de drones y tecnología, que produce drones, cámaras y robots aspiradores, tiene una cuota de mercado en drones civiles y comerciales que oscila entre el 70% y el 83%.
Fuente de la imagen: sitio web oficial de DJI, DJI Romo, robot aspirador de DJI con preocupaciones de seguridad
Respecto a la filtración de datos revelada por los medios, la portavoz de DJI, Daisy Kong, emitió un comunicado en el que admite que la vulnerabilidad involucraba un problema de verificación de permisos en la comunicación entre el dispositivo y los servidores, y que la compañía detectó la falla a finales de enero y desplegó dos actualizaciones en las primeras semanas de febrero para solucionarlo.
DJI enfatizó que, en teoría, este problema podría permitir que otros accedan sin autorización a las imágenes en tiempo real del robot, pero que en la práctica, tales incidentes son extremadamente raros y casi siempre ocurren durante pruebas por parte de investigadores de seguridad en sus propios dispositivos, además de que toda la comunicación está cifrada mediante TLS.
No obstante, el investigador de seguridad Kevin Finisterre señaló que, incluso si los datos en tránsito están cifrados, si el servidor carece de controles de acceso adecuados, los internos o clientes autenticados aún pueden leer fácilmente los datos.
Preocupaciones de seguridad en juguetes AI fabricados en China también salen a la luz
Además de los robots aspiradores de DJI, recientes informes de medios internacionales revelan preocupaciones sobre la seguridad y la educación relacionadas con juguetes AI fabricados en China.
Según un informe de Wired a finales de enero, los investigadores de seguridad Joseph Thacker y Joel Margolis descubrieron que la backend de la empresa china de juguetes AI Bondu carecía de protección, lo que llevó a la filtración de más de 50,000 registros de datos personales y conversaciones de niños.
Asimismo, NBC News informó que el muñeco Miiloo, fabricado por la compañía china Miriat, promueve en los niños ciertos puntos de vista políticos, como que “Taiwán es parte de China”.
Organizaciones de interés público en EE. UU. también advirtieron que los juguetes AI carecen de mecanismos de filtrado de contenido, lo que llevó a una carta del Comité Especial sobre Cuestiones Chinas de la Cámara de Representantes al Departamento de Educación, alertando sobre los riesgos para la privacidad de datos y la seguridad nacional asociados con estos dispositivos.
Para más detalles:
¿Sigues comprando juguetes AI? Bondu filtró 50,000 registros de datos de niños, y Miiloo promueve que: “Taiwán es parte de China”
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
