O engenheiro Sammy Azdoufal queria simplesmente controlar seu novo aspirador robô com um gamepad. Ele acabou descobrindo uma violação de segurança global expondo a privacidade de milhares de residências.
A história começa com uma ideia bastante divertida. O desenvolvedor Sammy Azdoufal queria controlar seu novo aspirador DJI Romo de última geração usando seu controle do PlayStation 5. Para isso, ele contou com a ajuda da inteligência artificial Claude Code para entender como o aparelho se comunicava com os servidores remotos da marca chinesa. Seu objetivo se limitava a criar um pequeno aplicativo caseiro para controlar seu robô a partir do sofá e possivelmente fazê-lo emitir um som agudo em caso de bateria fraca.
Ao analisar o protocolo de comunicação do dispositivo, ele conseguiu extrair seu próprio token de segurança digital. A surpresa veio quando os servidores da empresa começaram a enviar de volta dados de outros usuários para acesso gratuito. O sistema de validação de autorização estava completamente defeituoso. O cientista da computação também jura que não violou nenhuma regra e que não utilizou nenhum método de evasão ou qualquer força bruta para chegar até aqui. A nuvem simplesmente o considerava o administrador legítimo de milhares de máquinas ao redor do mundo.
Uma intrusão massiva na privacidade do usuário
Os números são verdadeiramente estonteantes. No espaço de nove minutos, o computador do francês catalogou 6.700 dispositivos DJI espalhados por 24 países diferentes. Ao adicionar as centrais portáteis da marca conectadas aos mesmos servidores, ele teve acesso total a mais de 10 mil dispositivos.
O nível de intrusão foi particularmente preocupante para a privacidade. Com um simples número de série, o desenvolvedor poderia observar ao vivo a câmera de qualquer robô e ouvir tudo o que estava acontecendo através do microfone embutido. Perante esta situação incrível, Sammy Azdoufal confidenciou à imprensa americana que achou muito estranho ter um microfone num simples aspirador. Ele também tinha a capacidade de recuperar plantas bidimensionais precisas de casas mapeadas. A escala da falha até levou a esposa do engenheiro a esconder imediatamente a câmera em seu próprio dispositivo como precaução.
A própria defesa oficial do fabricante chinês
Alertada pelo engenheiro e pela mídia, a empresa DJI acabou bloqueando o acesso fraudulento. Num longo comunicado oficial, a empresa garante que identificou uma vulnerabilidade que afetava o DJI Home durante uma revisão interna no final de janeiro e lançou imediatamente ações corretivas. O fabricante acrescenta que o problema foi resolvido através de duas atualizações consecutivas. Um primeiro patch foi implantado em 8 de fevereiro, depois uma atualização adicional foi finalizada em 10 de fevereiro. A marca especifica que a correção foi implantada automaticamente e nenhuma ação é necessária dos usuários.
Eu posso confirmar isso @DJIGlobal finalmente corrigiu a ENORME vulnerabilidade que eles tinham em seus servidores.
Esta vulnerabilidade foi descoberta pelo muito habilidoso @n0tsa e ele relatou isso ao DJI.
Permitiu controlar remotamente (movimentos, microfone, câmera) mais de 10.000 robôs… pic.twitter.com/j1UunMmNXX
—Gonzague 👨🏼💻 (@gonzague) 11 de fevereiro de 2026
Para tranquilizar seus clientes, a administração lembra que “A DJI mantém altos padrões de proteção e segurança de dados e estabeleceu processos para identificar e remediar possíveis vulnerabilidades”. A empresa enfatiza que “investiu em tecnologias de criptografia padrão da indústria e opera um programa de recompensa de bugs de longa data”. Ela confirma “considerou as descobertas e recomendações compartilhadas por pesquisadores independentes como parte de seu processo padrão de pós-remediação”. DJI conclui prometendo que “continuará a implementar melhorias de segurança adicionais como parte de seus esforços contínuos”.
E se você ainda está se perguntando, você pode controlar um aspirador DJI com um controlador de PlayStation 5.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
A beira