Sin querer ni darse cuenta, terminó accediendo a unos 7.000 robots en más de 20 países por un fallo de permisos
Un sueño inocente que comentó con un mando de PlayStation 5 y un robot aspirador terminó con acceso a una flota de más de 7.000 unidades. Para lograr su cometido, utilizó Claude Code (un modelo de IA para programar) y se puso a destripar las entrañas del DJI Romo accediendo tanto a sus servidores como a su control. En esencia, como ya dije, su intención era manejar su robot con el DualSense de Sony.
Unas horas después, cuando su aplicación casera ya estaba en marcha, se dio cuenta que no solo respondía su robot, sino que también lo hacían más de 7.000 repartidos por 24 países. De esta forma, pasó a tener acceso a cámaras, micrófonos e incluso planos de vivienda, ya que tenía "ojos" y "oídos" dentro de casas ajenas de todo el mundo sin moverse del sofá.
Un fallo tan absurdo como increíble
Lo más increíble de todo es lo fácil que fue tomar el control de una flota de miles de robots, ya que un número de serie de 14 dígitos le permitió localizar el robot de un periodista y no solo comprobar su batería, sino también ver la zona de la casa que estaba limpiando. Aquí, la raíz del desastre fue un fallo muy básico: el sistema MQTT no tenía controles por "temas" y, por tanto, un token válido podía abrir el tráfico de otros dispositivos.
Por si esto no fuera suficiente, parte de ese tráfico iba en texto claro dentro del canal. Así, podría decirse que la cerradura existía, pero la puerta estaba hecha de cartón mojado. De hecho, no solo respondían aspiradoras, también espacios de energía DJI Power que comparten infraestructura. Hablamos, por tanto, de equipos pensados para respaldo doméstico serio.
Aquí, este caso ilustra un miedo moderno alimentado por la IA, ya que los modelos de código bajan el listón para investigar protocolos y, al mismo tiempo, el número de "usuarios curiosos" se multiplica. En este escenario, la Unión Europea aprieta con la Cyber Resilience Act y multas de hasta 15 millones de euros, pero las exigencias de seguridad para productos conectados deben ser aún más fuertes.
Imagen principal de 3DJuegos
En 3DJuegos | Spotify no presume de música, sino de los meses que llevan sus programadores sin "trabajar"
En 3DJuegos | Una ley quiere poner etiquetas a la IA y, al fin, conocer todo sobre su entrenamiento
Ver todos los comentarios en https://www.3djuegos.com
VER 0 Comentario