DJI Romo: Modder usa controlador PS5 para acionar robô aspirador, obtendo acesso a 7.000 câmeras de robôs

O DJI Romo é o primeiro robô aspirador de pó do conhecido fabricante de drones. Com um design transparente impressionante, o robô se destaca dos concorrentes, mas a proteção contra ataques cibernéticos aparentemente não foi priorizada durante o desenvolvimento. Como informa o site The Verge um cliente acidentalmente invadiu cerca de 7.000 unidades do DJI Romo em todo o mundo.

Sammy Azdoufal originalmente queria apenas controlar seu robô aspirador de pó com um controle de PlayStation para se divertir. O aplicativo de controle remoto personalizado deveria controlar o robô por meio dos servidores da DJI. Mas, em vez de controlar apenas seu próprio DJI Romo, o servidor concedeu ao desenvolvedor acesso a todas as quase 7.000 unidades DJI Romo que estavam ativas no momento. Mais alarmante ainda, o desenvolvedor podia não apenas controlar os robôs, mas também acessar seus microfones e alto-falantes, o que praticamente lhe dava acesso ao vivo a milhares de residências.

Por meio do endereço IP, era possível determinar a localização aproximada de cada robô, e os robôs podiam até mesmo gerar mapas dos cômodos. O programador disse que não precisou quebrar nenhuma regra ou contornar restrições de segurança para obter esse tipo de acesso. Em vez disso, os servidores da DJI aceitaram o token de um único DJI Romo como autenticação para acessar os dados de todas as unidades DJI Romo. A DJI corrigiu essa grande falha de segurança na quarta-feira, 11 de fevereiro. No entanto, o incidente ilustra a quantidade de dados pessoais que um dispositivo doméstico inteligente, como um aspirador de pó robô, pode coletar e a gravidade desse tipo de falha se for explorada por um invasor.