Podemos dizer que o Dia dos Namorados de Sammy Azdoufal foi proveitoso. Lembre-se: tentando hackear seu aspirador robô DJI Romão com um controle de PlayStation, este pesquisador encontrou uma mina de ouro. Teve acesso a transmissões de vídeo ao vivo de 7.000 robôs em todo o mundo. Hoje, soubemos que DJI vai pagar a ele US$ 30.000 por sua descoberta.
Para ir mais longe
Análise do DJI Romo P: o mestre do céu chega ao chão
É uma boa quantia, mas acima de tudo é uma reviravolta total para a DJI. Historicamente, a marca não é conhecida pela sua ternura para com os investigadores de segurança.
Pare de perder tempo no trabalho.
O Plaud Note Pro grava suas reuniões, transcreve-as e resume-as para você. Basta pressionar um botão. Já mais de um milhão de usuários!
Em 2017, um caso semelhante terminou em ameaças legais em vez de recompensas. Desta vez, a pressão dos meios de comunicação social, nomeadamente a A beiraparece ter empurrado o gigante dos drones para mais pragmatismo.
DJI precisa restaurar a confiança. Quando você vende um robô que patrulha as salas de estar das pessoas, a menor violação de segurança se torna um argumento de venda para a concorrência. Ao pagar esse prêmio de “recompensa por bugs”, a DJI reconhece implicitamente que sua proteção foi, digamos francamente, catastrófica.
Uma correção de duas velocidades
O problema? A DJI brinca um pouco com as palavras em sua comunicação oficial. Se a marca confirmar ter corrigido a falha que permite a visualização de streams de vídeo sem código PIN a partir do final de fevereiro, permanecem áreas cinzentas. DJI afirma em postagem no blog que “tudo está resolvido”, mas admitiu nos bastidores que ainda levará um bom mês para atualizar todo o sistema.
O mais picante desta história é a ferramenta usada por Azdoufal. O pesquisador admitiu ter utilizado Código Claudea ferramenta de programação de IA da Anthropic, para ajudá-lo a navegar pelas entranhas do software da DJI.
A DJI defende-se exibindo as suas certificações europeias e americanas (ETSI, UL). Mas esses rótulos parecem muito fúteis quando uma falha tão evidente passa despercebida. Esta é mais uma prova de que as auditorias de segurança “no papel” nunca substituem os testes do mundo real realizados por investigadores independentes.