DJI affirme avoir corrigé un problème de sécurité affectant son robot aspirateur Romo, après qu’un chercheur a signalé un accès inhabituellement large aux appareils communiquant avec les services cloud de DJI. Le chercheur, Sammy Azdoufal, a déclaré avoir découvert le problème en créant une application de contrôle à distance pour son propre Romo, puis en voyant des milliers d’appareils répondre lorsque son application se connectait à l’infrastructure DJI.

Selon DJI, la cause première était un problème de validation des autorisations backend lié à la communication basée sur MQTT entre les appareils et le serveur. Dans un communiqué, la société a déclaré que la correction avait été déployée dans deux mises à jour, avec un correctif initial déployé le 8 février et un suivi terminé le 10 février. DJI a déclaré que le correctif avait été livré automatiquement et ne nécessitait aucune action de l’utilisateur.

Azdoufal a affirmé qu’il pouvait observer la télémétrie des appareils, comme les identifiants et les informations d’état, et que les chemins d’accès pouvaient, en théorie, être abusés pour accéder aux flux vidéo en direct dans certaines circonstances. DJI a déclaré que son enquête avait révélé que l’activité suspectée était en grande partie liée aux chercheurs indépendants testant leurs propres appareils, tout en ajoutant qu’il n’y avait aucune preuve d’un impact plus large.

You Might Also Like
Apple lance les puces M5 Pro et M5 Max avec une architecture Fusion à double puce
Apple lance les puces M5 Pro et M5 Max avec une architecture Fusion à double puce
OpenAI propose une année gratuite de ChatGPT Go en Inde
OpenAI propose une année gratuite de ChatGPT Go en Inde
AMD annonce la sortie en 2027 de la Xbox nouvelle génération de Microsoft
AMD annonce la sortie en 2027 de la Xbox nouvelle génération de Microsoft

L’incident met en évidence les risques pour la vie privée des appareils domestiques connectés qui incluent des caméras et des microphones. Même lorsque les données sont chiffrées pendant leur transit, le contrôle d’accès et les autorisations côté serveur déterminent ce que les clients authentifiés peuvent demander et visualiser. Les ressources de sécurité publique de DJI, y compris ses canaux de signalement des vulnérabilités, sont disponibles via le DJI Security Response Center.

DJI a fait l’objet d’une surveillance sur plusieurs marchés en raison de problèmes liés à la sécurité, et l’épisode Romo pourrait ajouter à ce débat. Pour plus d’informations sur DJI, consultez notre précédent rapport sur les fuites d’images de produits pour la gamme de caméras d’action de l’entreprise : Fuite d’images DJI Osmo Nano, montrant une conception modulaire.