O que era para ser uma forma divertida de controlar um aspirador de pó com um controle de PlayStation 5 se transformou em uma descoberta chocante sobre a segurança de milhares de dispositivos inteligentes. Sammy Azdoufal, um especialista em inteligência artificial, queria apenas brincar com seu novo robô de limpeza, o DJI Romo, mas acabou se tornando o "chefe acidental" de 7 mil aspiradores em 24 países diferentes.
A história de Azdoufal, líder de estratégia de IA em uma empresa de aluguel de temporada, é um alerta sobre a fragilidade da privacidade em dispositivos conectados. Ele não tinha a intenção de invadir sistemas, longe disso. Seu objetivo inicial era simples: criar um aplicativo próprio para pilotar seu aspirador DJI Romo de uma maneira mais interativa. Para isso, ele usou a ferramenta Claude Code e decifrou como o robô se comunicava com os servidores da fabricante, um processo conhecido como engenharia reversa.
De controle de PS5 a "chefe" de 7 mil robôs
Ao conectar seu aplicativo aos servidores da DJI, Azdoufal percebeu que algo estava muito errado. Em vez de receber dados apenas do seu aspirador, ele passou a ter acesso a uma avalanche de informações de cerca de 7.000 aparelhos espalhados por diversos países. Em uma demonstração impressionante ao portal The Verge, ele mostrou que em apenas nove minutos, seu notebook conseguiu catalogar milhares de dispositivos, revelando a dimensão da falha.
O nível de exposição era alarmante. Com apenas o número de série de qualquer um desses robôs, Azdoufal conseguia:
- Ver transmissões de vídeo e áudio ao vivo, ignorando completamente o PIN de segurança.
- Acessar plantas baixas detalhadas em 2D das casas dos usuários.
- Identificar a localização aproximada dos imóveis pelo endereço IP.
- Monitorar o status em tempo real do aparelho, incluindo bateria, cômodo atual e obstáculos.
O mais preocupante é que a falha não foi resultado de uma invasão complexa aos servidores da DJI. A raiz do problema estava na forma como a empresa verificava as permissões de acesso. Azdoufal explicou que, ao extrair o "token privado" – uma espécie de chave digital que deveria dar acesso apenas aos dados do seu próprio robô –, os servidores da DJI permitiram que ele visualizasse as informações de qualquer outro usuário conectado ao sistema. Pior ainda: os dados que deveriam estar protegidos, ou seja, criptografados, eram exibidos em texto simples, de fácil leitura.
DJI minimiza, mas falha persistiu por dias
Em resposta ao incidente, a DJI admitiu a existência de um "problema de validação de permissões", mas tentou diminuir a gravidade, descrevendo-a como um "potencial teórico" e alegando que acessos não autorizados foram "extremamente raros". Contudo, a cronologia dos fatos contada por Azdoufal levanta dúvidas sobre a comunicação da fabricante.
A empresa afirmou ter identificado o problema em janeiro e implementado correções nos dias 8 e 10 de fevereiro. No entanto, Azdoufal demonstrou que o acesso a milhares de robôs continuava ativo mesmo depois dessas datas. Na terça-feira, a DJI chegou a enviar um comunicado à imprensa dizendo que o erro estava resolvido, mas poucas horas depois, durante uma nova demonstração, a falha ainda podia ser explorada. O bloqueio definitivo só veio na quarta-feira, depois que a companhia foi confrontada com as evidências e precisou reiniciar completamente o serviço.
O debate sobre privacidade e dispositivos inteligentes
Este incidente reacende uma discussão importante sobre a segurança dos dispositivos inteligentes em nossas casas e a necessidade de certas funcionalidades. Como Azdoufal questionou:
"É muito estranho ter um microfone num aspirador de pó."A presença de câmeras e microfones em eletrodomésticos, que coletam dados detalhados sobre nossos ambientes, exige uma reflexão séria sobre os riscos à nossa privacidade caso essas informações caiam em mãos erradas.
Embora o acesso em massa aos aspiradores tenha sido interrompido, Azdoufal alerta que algumas vulnerabilidades menores ainda permanecem, como a possibilidade de visualizar vídeos sem a exigência de um PIN. A DJI, por sua vez, garante que os dados dos usuários estão seguros e que não há indícios de que as informações tenham vazado para criminosos, além dos pesquisadores independentes.
