DJI Romo bucati. Ecco i problemi di sicurezza dei robot aspirapolvere e non solo

Posted by By Francesco D'Accico 4 Min per Leggere 10 Febbraio 2026

Una grave falla di sicurezza ha colpito i prodotti DJI: Vulnerabilità MQTT, privacy a rischio e implicazioni globali

I robot aspirapolvere sono sempre più diffusi nelle case italiane. Dotati di videocamere, sensori LiDAR, microfoni e connettività cloud, rappresentano un perfetto esempio di dispositivi IoT domestici avanzati.

Tuttavia, una recente vulnerabilità scoperta nel sistema dei DJI Romo solleva interrogativi critici sulla sicurezza dei robot aspirapolvere e sulla protezione dei dati personali che possono finire in mani non autorizzate.

Il caso DJI Romo: Accesso non autorizzato a 6.700 dispositivi

Un appassionato di tecnologia, Sammy Azdoufal, analizzando il funzionamento del robot DJI Romo, ha individuato una falla strutturale nell’architettura cloud dell’azienda DJI che ha dato accesso alle “case” dei propri utilizzatori.

Il problema non riguarda un sofisticato attacco hacker, bensì una errata gestione dell’autorizzazione lato server. Utilizzando un token di autenticazione valido estratto dall’app DJI Home, Azdoufal è riuscito ad accedere non solo al proprio dispositivo, ma potenzialmente a 6.700 robot distribuiti in 24 Paesi, inclusa l’Italia.

Il sistema verificava infatti l’autenticazione dell’utente, ma non controllava l’effettiva autorizzazione all’accesso ai dati associati a uno specifico numero di serie del prodotto immesso sul mercato.

Architettura cloud e vulnerabilità MQTT

Il cuore del problema risiede nell’implementazione del protocollo MQTT (Message Queuing Telemetry Transport), ampiamente utilizzato nei sistemi IoT. L’infrastruttura DJI si compone di tre elementi:

  • App DJI Home
  • Server DJI Cloud con Broker MQTT e API di autenticazione
  • Robot fisico collegato via MQTT

Il broker MQTT funziona tramite “topic” (canali). In teoria, ogni utente dovrebbe poter accedere solo al topic associato al proprio dispositivo. Tuttavia, modificando il numero di serie nella richiesta, era possibile sottoscriversi ai canali di altri robot.

Questo consentiva di ricevere:

  • Stato operativo del dispositivo
  • Livello batteria
  • Posizione nella mappa domestica
  • Modalità di pulizia
  • Download della mappa completa dell’abitazione

Ma l’aspetto più critico riguarda l’accesso ai flussi video H.264 e audio in tempo reale, aggirando completamente il PIN previsto dall’app ufficiale che di fatto ha esposto la nostra privacy online in maniera facilitata.

Privacy domestica e implicazioni geopolitiche

L’accesso non autorizzato al feed video e ai microfoni trasforma un elettrodomestico in un potenziale strumento di sorveglianza. La vulnerabilità assume ulteriore rilevanza nel contesto delle tensioni tra DJI e gli Stati Uniti.

Gli USA hanno già vietato l’utilizzo dei droni DJI in ambito governativo e militare e stanno valutando restrizioni più ampie sui prodotti consumer. Le accuse riguardano possibili rischi di accesso ai dati da parte della Cina e scarsa trasparenza sui flussi informativi.

DJI sostiene che i dati statunitensi siano ospitati su AWS negli USA, ma questa vulnerabilità dimostra che la localizzazione dei server non è sufficiente se i controlli di accesso risultano mal configurati.

Aggiornamenti e situazione attuale

La vulnerabilità sarebbe stata scoperta a gennaio. Nonostante una segnalazione iniziale, il problema sarebbe rimasto attivo fino alla divulgazione pubblica. DJI ha dichiarato di aver risolto la falla con un aggiornamento cloud-side, senza necessità di firmware update.

Secondo il ricercatore, tuttavia, alcune criticità minori persistono.

Sicurezza IoT: Un problema sistemico

Il caso DJI Romo evidenzia un problema strutturale nel settore dei dispositivi connessi:

  • Centralizzazione dei dati su server cloud esterni
  • Controlli di autorizzazione inadeguati
  • Architetture IoT non progettate secondo il principio del “least privilege”

La domanda ora è inevitabile: quanto sono sicuri gli altri robot aspirapolvere presenti nelle nostre case? In un mercato dominato da produttori asiatici e caratterizzato da forte competizione sui costi, la sicurezza software rischia di diventare una variabile secondaria.

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.
Exit mobile version