MADRID 16 fev. (Portaltic/EP) - A DJI corrigiu uma falha de segurança identificada em seus novos robôs aspiradores DJI ROMO P, que permitia controlar remotamente cerca de 7.000 aspiradores em todo o mundo, bem como acessar sua câmera e microfones em tempo real.
A empresa de tecnologia apresentou sua série de robôs aspiradores ROMO em outubro do ano passado. Disponível em três configurações, esta série possui função de esfregar e utiliza a tecnologia dos conhecidos drones da marca para detectar com precisão os obstáculos e traçar rotas de limpeza.
Entre os diferentes modelos da nova série, o ROMO P é o mais avançado, com um compartimento adicional para desodorizante para pisos e um design atraente devido à sua estação de carregamento transparente, disponível a partir de 1.899 euros.
No entanto, os novos ROMO não se destacaram apenas pelo seu design e capacidades, mas também foram objeto de investigação devido a uma falha de segurança, identificada acidentalmente, que permitia controlar remotamente milhares de aspiradores, bem como aceder à sua câmara e microfones.
Essa falha foi identificada pelo diretor de estratégia de Inteligência Artificial (IA) da empresa de aluguel de imóveis Emerald Stay e desenvolvedor de aplicativos, Sammy Azdoufal, que, após tentar controlar remotamente seu novo aspirador DJI ROMO com um controle PS5 “por diversão”, conseguiu se comunicar com os servidores da empresa e, com isso, acessar milhares de robôs aspiradores em todo o mundo.
Especificamente, Azdoufal criou um aplicativo de controle remoto usando o assistente de IA Claude Code que, ao tentar se comunicar com seu aspirador por meio de engenharia reversa dos protocolos da DJI, recebeu resposta de aproximadamente 7.000 aspiradores em todo o mundo.
Através deste aplicativo, ele não só podia controlar todos os aspiradores que respondiam à distância, mas também podia acessar as câmeras para ver as imagens captadas e acessar os microfones ao vivo.
Isso foi compartilhado pelo The Verge, que coletou a pesquisa do desenvolvedor e verificou a veracidade da vulnerabilidade colocando em prática o controle remoto de um aspirador DJI ROMO de um jornalista do referido meio de comunicação, que Azdoufal conseguiu controlar de Barcelona usando apenas seu número de série.
Tanto é assim que o desenvolvedor mostrou ao meio de comunicação em questão como podia mapear cada cômodo de uma casa gerando uma planta 2D, bem como usar o endereço IP de qualquer robô para encontrar sua localização aproximada. Ele também podia acessar o número de série de cada robô, quais cômodos estavam sendo limpos, o nível da bateria ou os obstáculos encontrados pelo caminho. No total, Azdoufal conseguiu acessar 10.000 dispositivos em 24 países diferentes. Além disso, ele afirma que, para isso, não infringiu nenhuma regra. “Não pulei, não cedi, nem usei força bruta”, afirmou o desenvolvedor, alegando que simplesmente extraiu o token privado de seu próprio aspirador DJI ROMO — ou seja, a chave que indica aos servidores da DJI que um usuário tem acesso aos seus próprios dados — e, em troca, os servidores da empresa também lhe mostravam os dados de milhares de outros usuários.
DJI CORRIGE A FALHA: UMA VULNERABILIDADE IDENTIFICADA EM JANEIRO Por sua vez, a empresa de tecnologia indicou que já corrigiu a falha de segurança que permitia acessar e controlar os robôs aspiradores, embora tenha esclarecido que esse erro provém de uma vulnerabilidade que afetava o DJI Home, identificada internamente no final de janeiro, que não havia sido totalmente corrigida.
“A DJI pode confirmar que o problema foi resolvido na semana passada e que a correção já estava em andamento antes da divulgação pública”, afirmou a porta-voz da DJI, Daisy Kong, em comunicado enviado ao The Verge.
Conforme explicado pela empresa no comunicado, o problema que afetava o DJI Home foi resolvido por meio de duas atualizações, com um patch inicial implantado em 8 de fevereiro e uma atualização de acompanhamento concluída em 10 de fevereiro, sem a necessidade de qualquer ação por parte dos usuários.
Especificamente, tratava-se de uma vulnerabilidade que envolvia um problema de validação de permissões no backend, que afetava a comunicação baseada em MQTT entre o dispositivo e o servidor. Esse problema “criou um potencial teórico de acesso não autorizado ao vídeo ao vivo do dispositivo ROMO”, embora, de acordo com a investigação, “os fatos reais fossem extremamente raros” e estivessem ligados a pesquisadores de segurança independentes que estavam testando os dispositivos.
Assim, embora a DJI garanta que o primeiro patch corrigiu a vulnerabilidade, ele não foi aplicado universalmente “em todos os nós de serviço” e, portanto, o segundo patch foi lançado com a intenção de estender a solução aos nós de serviço restantes, reativando-os e reiniciando-os.
Após receber o relatório de Sammy Azdoufal sobre as falhas encontradas, a DJI declarou que o problema já foi totalmente resolvido e que “não há evidências de um impacto mais amplo”. Além disso, especificou que não se trata de um problema de criptografia de transmissão e que a comunicação entre o dispositivo e o servidor “não era transmitida em texto claro”.
“A DJI mantém padrões rigorosos de privacidade e segurança de dados e estabeleceu processos para identificar e abordar possíveis vulnerabilidades”, concluiu, ao mesmo tempo em que destacou que investiu “em criptografia industrial” e que administra um programa de recompensa por erros.
Com tudo isso, deve-se levar em conta que, embora a DJI afirme ter corrigido a falha, se simplesmente fechou uma determinada entrada em seus servidores para impedir que ninguém acesse os dispositivos, os agentes mal-intencionados podem acabar encontrando outra entrada para continuar acessando o mesmo ponto. Ou seja, os robôs aspiradores não ficam totalmente protegidos. Azdoufal confirmou que já não tem acesso a nenhum robô aspirador DJI ROMO. No entanto, partilhou com o The Verge outra falha relacionada com os robôs aspiradores que não foi descrita porque ainda não foi resolvida e que classifica como “grave”.
Esta notícia foi traduzida por um tradutor automático