Il y a quelques jours, lorsqu'un bricoleur a tenté de contrôler son robot de balayage DJI Romo avec une manette de jeu PS5, il a accidentellement déclenché une grave faille de sécurité. En conséquence, environ 6 700 robots de ce type dans le monde ont fait l’objet d’un accès non autorisé, leur permettant de visualiser des images de caméras en temps réel, d’obtenir des plans d’étage en 2D et même de localiser l’emplacement des équipements.
Après que l'incident a été révélé par The Verge, DJI a officiellement répondu, affirmant qu'il avait terminé de corriger la vulnérabilité.
La vulnérabilité a été découverte par Sammy Azdoufal. Il a déclaré aux médias que son intention initiale était simplement d'utiliser le contrôleur PS5 pour contrôler le DJI Romo nouvellement acheté, il a donc utilisé le logiciel Claude Code pour procéder à l'ingénierie inverse du protocole de communication entre le robot et le serveur DJI, et a créé une application de contrôle à distance maison.
Étonnamment, les autorisations de l'application étaient hors de contrôle après la connexion au serveur. Il a uniquement extrait le jeton privé de son propre appareil et a reçu une réponse d'environ 7 000 unités Romo dans le monde.
Un journaliste de The Verge a assisté en direct à la démonstration de la vulnérabilité. En 9 minutes, l'ordinateur d'Azdufar a enregistré 6 700 appareils DJI dans 24 pays et collecté plus de 100 000 messages d'appareils, couvrant les numéros de série des appareils, les salles blanches, les scènes vues, la distance parcourue, le temps de charge et les obstacles rencontrés, etc.
Deux cartes de l'espace de vie de Thomas. Le dessus est la carte non authentifiée obtenue à partir du serveur DJI ; en bas, la carte que le propriétaire voit sur son téléphone portable.
Avec seulement le numéro de série de l'appareil à 14 chiffres fourni par mon collègue Thomas Ricker, je peux vérifier avec précision l'état du robot nettoyant le salon et les 80 % de batterie restants, et également obtenir le plan précis de la maison de mon collègue.
De plus, il a pu contourner le code PIN de sécurité de son propre robot pour visualiser des images en temps réel, et a même partagé une version en lecture seule de l'application avec Gonzague Dambricourt, CTO d'une société française de conseil en informatique, qui pouvait visualiser à distance les images de la caméra de son Romo sans coupler l'appareil.
Azdufar a souligné qu'il n'avait pas envahi le serveur DJI. "Je n'ai violé aucune règle, cracké ou forcé aucun système." C'est juste que le jeton privé qu'il a extrait pour son propre appareil, qui était censé être la clé pour vérifier les autorisations d'accès à son propre appareil, a été mal jugé par le serveur DJI comme une autorisation générale, laissant ainsi fuir des données sur des milliers d'appareils à travers le monde.
Il a également révélé qu'il effacerait toutes les données acquises à chaque fois qu'il fermerait l'outil et qu'il n'abuserait pas de cette faille pour envahir la vie privée d'autrui.