El día de San Valentín, les conté una historia que desde entonces ha aparecido en los titulares de todo el mundo: cómo un hombre, simplemente tratando de dirigir su robot aspirador DJI con un gamepad de PlayStation, descubrió una red completa de 7.000 robots DJI de control remoto listos para permitirle espiar las casas de otras personas.
Para ser claros, DJI ya había comenzado a abordar algunas de las vulnerabilidades relacionadas antes de que el hombre, Sammy Azdoufal, mostrara El borde a cuánto podía acceder. Pero no estaba claro si DJI le pagaría por su descubrimiento, particularmente después de cómo trató al investigador de seguridad Kevin Finisterre en 2017, o qué tan pronto DJI podría corregir por completo las vulnerabilidades adicionales que descubrió Azdoufal.
Hoy tenemos algunas de las respuestas.
DJI pagará a Azdoufal 30.000 dólares por un solo descubrimiento, según un correo electrónico que compartió con El bordesin especificar por qué descubrimiento le paga. Aunque DJI no nombra a Azdoufal, lo confirma El borde ha «recompensado» a un investigador de seguridad anónimo por su trabajo.
DJI tampoco nos dijo por qué descubrimiento le está pagando, pero dice que ya ha abordado la vulnerabilidad adicional que encontró Azdoufal donde alguien puede ver una transmisión de video DJI Romo sin necesidad de un pin de seguridad. «Podemos confirmar que la observación de seguridad del código PIN se solucionó a finales de febrero», se lee en una declaración proporcionada por la portavoz de DJI, Daisy Kong.
Quizás te preguntes: ¿Qué pasa con la vulnerabilidad que parecía tan grave que nos negamos a describirla en nuestra historia original?? DJI me dice que también está trabajando en eso: «También hemos comenzado a actualizar todo el sistema. Esto incluye una serie de actualizaciones, que anticipamos que se implementarán por completo dentro de un mes».
DJI también publicó hoy una publicación de blog pública sobre el fortalecimiento de la seguridad del DJI Romo, en la que continúa afirmando que descubrió el problema original, al tiempo que da crédito a «dos investigadores de seguridad independientes» por encontrar el mismo problema.
Allí, DJI parece estar sugiriendo que todo está bien. ya resuelto con Romo: «Se han implementado actualizaciones para resolver completamente el problema». Pero nuevamente, no había sólo una vulnerabilidad, y DJI dijo El borde que podría tardar hasta un mes más.
En la publicación del blog, DJI también dice que Romo ya tiene certificaciones de seguridad ETSI, EU y UL, lo que puede plantear preguntas sobre cuán útiles son realmente esas certificaciones si un tipo con Claude Code pudiera acceder a una red completa llena de robovacs. – y que continuará probando, parcheando y sometiendo Romo y su aplicación a auditorías de seguridad de terceros independientes.
DJI escribe que está «comprometido a profundizar nuestro compromiso con la comunidad de investigación de seguridad y pronto introduciremos nuevas formas para que los investigadores se asocien y colaboren con nosotros».