Sammy Azdoufal não estava tentando se tornar o Big Brother dos aspiradores de pó. Ele só queria se divertir. Seu objetivo? Controle seu novo DJI Romão com um controlador de PlayStation 5. Um projeto clássico de ajustes, auxiliado pelo AI Claude Code para dissecar os protocolos de comunicação da DJI.
Mas ao conectar seu aplicativo aos servidores da marca, a realidade o alcançou. Não foi seu robô que respondeu, mas um exército de 6.700 dispositivos distribuído em 24 países. Sem hackear nada, sem forçar a menor porta, ele recebeu em tempo real os números de série, o estado da bateria e, acima de tudo, acesso aos fluxos de vídeo e áudio de milhares de estranhos.
Pacote SolarFlow 2400AC+ com 2 baterias e medidor por -€490
A sua produção solar excede o seu consumo? O SolarFlow 2400AC+ direciona automaticamente o excedente para as baterias para uso à noite. Reduza sua conta 24 horas por dia.
O mais preocupante? Adicionando as estações de carregamento Poder DJIque usam os mesmos servidores, é uma frota de 10.000 dispositivos que se viu nu.
Um filtro chamado MQTT
Veja como funciona. Os dispositivos DJI se comunicam com os servidores por meio de um protocolo chamado MQTT. Ao recuperar seu próprio token de acesso, Sammy Azdoufal percebeu que o servidor não estava verificando se os dados solicitados realmente pertenciam ao usuário. Uma vez identificado com sua chave, ele poderia solicitar informações de qualquer outro robô simplesmente utilizando seu número de série.
Durante uma manifestação para A beiraa observação foi imediata. Utilizando o número de série de um robô de teste localizado em outro país, Azdoufal conseguiu constatar em poucos segundos que o aparelho estava limpando a sala e que ainda tinha 80% de bateria. Ainda mais sério, gerou a planta 2D precisa do apartamento em tempo real. O fluxo de vídeo era acessível ignorando completamente o código PIN de segurança definido pelo usuário.
O problema não vem da criptografia em trânsito (o famoso TLS), mas sim do que está acontecendo dentro do pipe. DJI se defende alegando que os dados estão armazenados em servidores AWS nos Estados Unidosmas como aponta o pesquisador Kevin Finisterre, isso não impede de forma alguma que um funcionário na China ou um usuário inteligente acesse as informações se os direitos de acesso no nível do servidor estiverem configurados incorretamente.
Momento desastroso para DJI
Essa falha surge no pior momento para DJI. Enquanto a marca luta para não ser banida de solo americano por suspeita de espionagem, ver que um usuário comum consegue ver através dos olhos de milhares de robôs não ajuda na confiança. DJI tentou minimizar o assunto, dizendo que a falha havia sido corrigida antes de sua divulgação pública. A realidade? Durante os testes realizados na última terça-feira, a vulnerabilidade ainda estava muito presente.
Para ir mais longe
Os Estados Unidos proíbem DJI e todos os drones estrangeiros: aqui estão as consequências diretas
Foi necessária uma segunda atualização, implantada com urgência no dia 10 de fevereiro, para que o scanner do pesquisador finalmente parasse de receber pacotes de dados. Porém, nem tudo está resolvido. O pesquisador afirma que persistem certas falhas, como a possibilidade de ver o próprio stream de vídeo sem PIN, ou outras vulnerabilidades mais críticas que prefere manter em segredo por enquanto.
Para ir mais longe
Análise do DJI Romo P: o mestre do céu chega ao chão