Selon The Verge, DJI a décidé de récompenser de 30 000 $ le chercheur Sammy Azdoufal après la mise en lumière d’un accès à un réseau d’environ 7 000 aspirateurs robots Romo, tout en précisant avoir déjà corrigé une faille de visualisation de flux vidéo sans PIN et en préparer d’autres correctifs.

• Paiement et attribution 🎁 — DJI confirme avoir « récompensé » un chercheur (sans le nommer) et, d’après l’email partagé avec The Verge, versera 30 000 $ pour une seule découverte, sans préciser laquelle. Ce développement intervient après la révélation mi-février d’un accès à des milliers de Romo permettant d’observer l’intérieur de foyers.

• Vulnérabilités et correctifs 🛡️ — DJI indique avoir corrigé fin février une faille permettant de voir le flux vidéo d’un Romo sans code PIN. Pour une autre vulnérabilité jugée plus sensible (non détaillée par The Verge), l’entreprise dit avoir démarré une mise à niveau de l’ensemble du système, avec une série de mises à jour attendues d’ici environ un mois.

• Communication officielle de DJI 📝 — Dans un billet de blog, DJI affirme avoir découvert le problème d’origine en interne, tout en créditant « deux chercheurs indépendants » pour la même vulnérabilité. Le billet soutient que des mises à jour ont été déployées pour « résoudre entièrement le problème », alors que DJI a par ailleurs indiqué à The Verge qu’un calendrier d’un mois est nécessaire pour l’ensemble des correctifs.

• Conformité et engagements 🔒 — DJI met en avant des certifications de sécurité ETSI, UE et UL pour le Romo, et promet de poursuivre les tests, correctifs et audits tiers indépendants, en plus de « nouvelles façons » de collaborer avec la communauté des chercheurs en sécurité.

• Contexte 💬 — L’article rappelle le précédent de 2017 avec le chercheur Kevin Finisterre. Il s’agit ici d’un article de presse spécialisé visant à informer sur la récompense, l’état des correctifs et la communication de DJI autour des failles affectant les aspirateurs Romo.

IOCs: Aucun indiqué.

TTPs observés (niveau descriptif):

  • Accès non authentifié aux flux vidéo (contournement du code PIN) 📹
  • Accès/contrôle à distance de robots connectés via l’infrastructure Romo 🤖
  • Correctifs en cours via mises à jour système à l’échelle de la plateforme 🔧

🔗 Source originale : https://www.theverge.com/news/890982/dji-pay-sammy-azdoufal-robot-vacuum-hack-romo-security