No início de 2025, o engenheiro de software Sammy Azdoufal descobriu acidentalmente uma vulnerabilidade crítica na infraestrutura em nuvem do fabricante de drones e robôs DJI.
À medida que ele desenvolveu um aplicativo casa para controlar seu aspirador de pó DJI Romão através de Com um joystick, ele obteve acesso indesejado a transmissões de vídeo, microfones e plantas baixas de milhares de residências em todo o mundo.
Este evento, ocorrido há alguns meses, ilustra perfeitamente os riscos crescentes associados aos objetos conectados nos nossos espaços habitacionais.
Como um projeto DIY expôs 7.000 casas
O DJI Romo é um aspirador autônomo de última geração, com preço em torno de US$ 2.000. Equipado com sensores visuais avançados, mapeia ambientes, distingue uma cozinha de um quarto e armazena parte desses dados nos servidores remotos da DJI.
Para desenvolver seu aplicativo de controle remoto personalizado, Azdoufal usou um assistente de codificação baseado em inteligência artificial. Ele usou essa ferramenta para “fazer engenharia reversa” da comunicação entre o robô e os servidores do fabricante. O objetivo: extrair um ficha segurança (ficha) provando que ele é o proprietário do seu dispositivo.
Etiquetas:
tecnologia
Esses aspiradores robôs poderiam transmitir vídeos e mapas do interior das casas!
Leia o artigo
Exceto que os servidores da DJI não verificaram um único token. Eles lhe deram milhares. Resultado imediato:
- Acesso a feeds de câmeras em tempo real de outros robôs.
- Ativação remota de microfones embutidos.
- Consulta de plantas 2D de casas mapeadas.
- Localização aproximada dos dispositivos através de seus Endereço IP.
O Sr.Azdoufal insiste num ponto: ele não hackeou nada. Ele simplesmente tropeçou em um buraco. Ele preferiu alertar a mídia americana A beiraque contatou DJI. A falha já foi corrigida através de duas atualizações automáticas, implantadas em 8 e 10 de fevereiro de 2025.
Em 2020, 54 milhões de lares americanos possuíam pelo menos um objeto conectado. © Herstockart, iStock
Casas conectadas: intimidade enfraquecida por objetos do cotidiano
Este assunto não diz respeito apenas à DJI. Faz parte de um contexto de crescente desconfiança em relação às chamadas tecnologias de “casa inteligente”. Câmeras anelares, campainhas Nest, aspiradores robôs… tantos dispositivos que capturam constantemente dados no centro de nossas vidas privadas.
A democratização das ferramentas de codificação auxiliada por IA é uma lâmina dupla. Por um lado, permite que entusiastas como Sammy Azdoufal inovem. Por outro lado, reduz o nível técnico necessário para explorar uma vulnerabilidade de software. Um usuário mal-intencionado poderia ter transformado esses 7.000 robôs em verdadeiras ferramentas de vigilância, sem que seus proprietários soubessem de nada.
Etiquetas:
tecnologia
Uma mulher foi fotografada no banheiro por seu aspirador robô Roomba
Leia o artigo
Os robôs domésticos também estão se tornando mais sofisticados. Empresas como Tesla ou a Figure está desenvolvendo robôs humanóides capazes de viver em uma casa e realizar tarefas lá. A empresa 1X já comercializa um desses modelos. Para funcionar, estas máquinas necessitarão de acesso íntimo e permanente ao nosso ambiente. Para um hacker, cada novo dado coletado representa uma oportunidade.
De acordo com a empresa de pesquisa Parks Associates, 54 milhões de lares americanos possuíam pelo menos um objeto conectado em 2020. Este número só aumentou desde então. Os governos estão preocupados com isto: em França, a ANSSI publica regularmente recomendações sobre a segurança dos objetos conectados.
O incidente com Sammy Azdoufal serve como um lembrete de uma verdade incômoda: os aparelhos que limpam o nosso chão muitas vezes sabem mais sobre nós do que pensamos.