A DJI resolveu uma falha de segurança encontrada no novo aspirador robô DJI ROMO P, que permitia o controle remoto de cerca de 7.000 aspiradores em todo o mundo, bem como o acesso às suas câmeras e microfones em tempo real.
A empresa de tecnologia lançou a série de aspiradores robôs ROMO em outubro do ano passado. Disponível em três designs, esta série possui função de esfrega e utiliza a conhecida tecnologia drone da marca para detectar obstáculos com precisão e monitorar o caminho de limpeza.
Entre os vários modelos da nova série, o ROMO P é o mais elevado, com compartimento adicional para o desodorizador de chão e um design impressionante graças à estação de carregamento transparente, disponível por 1.899 euros.
No entanto, os novos ROMOs não só se destacaram pelo seu design e capacidades, mas também foram alvo de investigação devido a uma falha de segurança, descoberta por acidente, que permitiu controlar remotamente milhares de aspiradores, bem como o acesso a câmaras e microfones.
Esta falha foi constatada pelo diretor de estratégia de Inteligência Artificial (IA) da locadora Emerald Stay e desenvolvedor de aplicativos, Sammy Azdoufal, que, após tentar controlar remotamente o novo aspirador DJI ROMO com controlador PS5 “por diversão”, conseguiu se comunicar com os servidores da empresa e, com isso, acessar milhares de aspiradores robóticos em todo o mundo.
Especificamente, Azdoufal criou um aplicativo de controle remoto usando o AI Claude Code que, ao tentar se comunicar com seus aspiradores usando protocolos de engenharia reversa da DJI, recebeu respostas de cerca de 7.000 aspiradores de todo o mundo.
Com este aplicativo, não só consegui controlar remotamente todos os aspiradores, mas também acessar a câmera para visualizar as imagens capturadas e acessar o microfone ao vivo.
A informação foi compartilhada pelo The Verge, que compilou a pesquisa do desenvolvedor e verificou a validade da vulnerabilidade aplicando o controle remoto do aspirador DJI ROMO do jornalista da mídia mencionada acima, que Azdoufal poderia controlar de Barcelona apenas pelo número de série.
Tanto que o desenvolvedor mostrou à mídia como pode mapear todos os cômodos de uma casa criando uma planta 2D, além de usar o endereço IP de cada robô para encontrar sua localização. Ele também pode acessar o número de cada robô, sua sala de limpeza, nível de bateria ou obstáculos no caminho.
No total, Azdoufal conseguiu aceder a 10 mil dispositivos em 24 países diferentes. Da mesma forma, afirma que, ao fazê-lo, não infringiu a lei. “Não pulei, não cedi, não fui agressivo”, disse o desenvolvedor, dizendo que simplesmente pegou a chave privada de seu próprio aspirador DJI ROMO – ou seja, a chave que informa aos servidores da DJI que um usuário pode acessar seus dados pessoais – e, por sua vez, os servidores da empresa também lhe mostraram os dados de milhares de outros usuários.
DJI RECONHECE O BUG: CORRIGIDO EM JANEIRO
Por sua vez, a tecnológica anunciou que corrigiu a falha de segurança que permitia o acesso e controlo dos aspiradores robôs, embora tenha explicado que este erro provém de uma vulnerabilidade que afetou o DJI Home, conhecida internamente no final de janeiro, que não foi totalmente controlada.
“A DJI pode confirmar que o problema da semana passada foi resolvido e os reparos estão em andamento antes do anúncio público”, disse a porta-voz da DJI, Daisy Kong, ao The Verge.
Conforme explicou a empresa no comunicado, o problema que afeta o DJI Home foi resolvido por duas atualizações, sendo o primeiro patch instalado em 8 de fevereiro e a próxima atualização concluída em 10 de fevereiro, sem exigir nenhuma ação do usuário.
Na verdade, era uma vulnerabilidade que envolvia problemas de autenticação no backend, o que afetava a comunicação baseada em MQTT entre o dispositivo e o servidor. Este problema “criou uma possibilidade teórica de acesso não autorizado a vídeo ao vivo de dispositivos ROMO”, embora de acordo com o estudo “a ocorrência real seja muito rara” e tenha sido associada a investigadores de segurança independentes que testaram os dispositivos.
Portanto, embora DJI diga que o primeiro patch corrigiu a vulnerabilidade, geralmente não foi aplicado “em todos os nós de serviço” e, portanto, o segundo patch foi lançado com a intenção de estender a correção aos restantes nós de serviço, redefinindo-os e reiniciando-os.
Depois de receber o relatório de Sammy Azdoufal sobre a falha descoberta, a DJI decidiu que ela havia sido totalmente resolvida e “não há evidências de um impacto mais amplo”. Da mesma forma, foi determinado que não se tratava de um problema de transmissão de criptografia e que a comunicação entre o dispositivo e o servidor “não foi transmitida em texto não criptografado”.
“A DJI mantém padrões de privacidade e segurança de dados e implementou processos para identificar e resolver vulnerabilidades potenciais”, concluiu, observando que usou “criptografia líder do setor” e executa um programa de recompensas de bugs.
Com tudo isso, é preciso levar em conta que, mesmo que a DJI alegue ter resolvido o vírus, se apenas fechasse alguns acessos aos seus servidores para evitar que pessoas acessassem os dispositivos, atores maliciosos poderão encontrar outros acessos para continuar acessando o mesmo ponto. Dito isto, os aspiradores robôs não são totalmente seguros.
Azdoufal confirmou que não tem mais acesso ao aspirador robô DJI ROMO. No entanto, partilhou com o The Verge outra falha relacionada com o aspirador robô que não foi descrita por não ter sido resolvida e que diz ser “grave”.
