Cosa succede quando un esperto di intelligenza artificiale decide di comandare il proprio robot aspirapolvere con il controller di una PlayStation 5? La risposta è un incubo per la cybersicurezza. Una vulnerabilità devastante nei server cloud di DJI, l’azienda che domina il mercato mondiale dei droni e che ha recentemente debuttato nel settore domestico con il suo primo flagship, il DJI Romo, è stata scoperta quasi per caso da Sammy Azdoufal, ricercatore indipendente e responsabile AI. Cercando di estrarre un semplice token privato per sviluppare un’app di controllo remoto personalizzata, Azdoufal si è accorto che il software non dialogava solo con il suo dispositivo, ma apriva un portale d’accesso su oltre 7.000 robot sparsi in 24 Paesi.
La falla, legata a una gestione insufficiente dei permessi lato backend, permetteva a chiunque avesse un minimo di competenza tecnica di monitorare migliaia di unità in tempo reale. Durante una demo live concessa alla testata The Verge, il ricercatore è riuscito a catalogare quasi 6.700 dispositivi in meno di 10 minuti, raccogliendo un flusso di oltre 100.000 messaggi contenenti dati sensibilissimi, tra cui numeri di serie, mappe 2D delle abitazioni generate live, stato della batteria e persino ostacoli rilevati.
L’aspetto più inquietante riguarda la privacy in quanto, in alcuni test, Azdoufal è riuscito ad aggirare il PIN di sicurezza per accedere direttamente ai feed video delle telecamere di bordo, trasformando i piccoli aiutanti domestici in potenziali strumenti di sorveglianza remota non autorizzata.
La reazione di DJI e il “rischio smart home” nel 2026
Il caso del DJI Romo mette a nudo una fragilità sistemica che sembra affliggere molti giganti della domotica. Sebbene DJI abbia inizialmente dichiarato di aver risolto il problema prima della diffusione della notizia, i test sul campo hanno smentito l’azienda e l’accesso ai server risultava ancora attivo durante le prime dimostrazioni pubbliche del ricercatore.
Solo il giorno successivo la falla principale è stata effettivamente chiusa, interrompendo lo scanner di Azdoufal. Oltre ai robot aspirapolvere, la vulnerabilità ha coinvolto anche le stazioni energetiche DJI Power, portando il numero totale di dispositivi visibili a superare quota 10.000. L’incidente ha sollevato pesanti interrogativi sulla gestione dei dati e sui controlli interni della società, specialmente considerando che l’accesso ai server americani non impediva tecnicamente la consultazione di dati provenienti da altre regioni.
Questo episodio non è un caso isolato, ma si inserisce in una scia di incidenti di sicurezza che negli ultimi anni hanno coinvolto marchi come Ecovacs, Eufy e Wyze. Nel 2026, la sicurezza delle nostre case è affidata a server che, come dimostrato da Azdoufal, possono essere “bucati” senza nemmeno dover violare i sistemi, ma semplicemente sfruttando errori di validazione dei permessi interni.
Mentre DJI cerca di rassicurare la propria utenza, la scoperta del ricercatore serve da monito sul fatto che la tecnologia dei droni applicata ai robot domestici offre una precisione di mappatura senza precedenti, ma se non accompagnata da una sicurezza informatica altrettanto “militare”, rischia di trasformare le nostre stanze in un libro aperto per chiunque sappia dove guardare.
