Sammy Azdoufal queria controlar seu robô aspirador com um controle PS5. Como qualquer bom criador, ele achou que seria divertido dirigir manualmente um novo DJI Romo. Ele acabou ganhando acesso a um exército de robôs aspiradores que lhe deram acesso a milhares de casas.
Motivado por razões puramente lúdicas, Azdoufal utilizou o assistente de codificação Claude Code AI da Anthropic para fazer engenharia reversa dos protocolos de comunicação do seu Romo. Mas quando seu aplicativo caseiro se conectou aos servidores da DJI, cerca de 7.000 robôs aspiradores em 24 países começaram a responder.
Ele podia assistir às imagens ao vivo das câmeras, ouvir através dos microfones integrados e gerar plantas baixas de casas que nunca havia visitado. Com apenas um número de série de 14 dígitos, ele localizou o robô de um jornalista da Verge, confirmou que ele estava limpando a sala de estar com 80% da bateria e produziu um mapa preciso da casa de outro país.
A falha técnica foi quase comicamente básica. O broker de mensagens MQTT da DJI não tinha controles de acesso em nível de tópico. Depois de se autenticar com um único token de dispositivo, era possível ver o tráfego de outros dispositivos em texto simples.
Não foram apenas os aspiradores que responderam. As estações de bateria portáteis Power da DJI, que funcionam com a mesma infraestrutura MQTT, também apareceram. Trata-se de geradores de backup domésticos expansíveis até 22,5 kWh, comercializados para manter sua casa funcionando durante quedas de energia.
O que diferencia essa descoberta de segurança das convencionais é a forma como ela ocorreu. Azdoufal utilizou o Claude Code para descompilar o aplicativo móvel da DJI, compreender seu protocolo, extrair seu próprio token de autenticação e criar um cliente personalizado.
As ferramentas de codificação de IA estão reduzindo o nível de exigência para a segurança ofensiva avançada. A população capaz de sondar os protocolos da Internet das Coisas (IoT) ficou muito maior, corroendo ainda mais qualquer confiança remanescente na segurança por meio da obscuridade.
Por que muitos aspiradores IoT são ruins
Esta não é a primeira vez que alguém controla remotamente um aspirador robô. Em 2024, hackers assumiram o controle dos aspiradores Ecovacs Deebot X2 em várias cidades dos Estados Unidos, gritando insultos pelos alto-falantes e perseguindo animais de estimação. A proteção por PIN da Ecovacs era verificada apenas pelo aplicativo, nunca pelo servidor ou pelo dispositivo.
Em setembro passado, o órgão de defesa do consumidor da Coreia do Sul testou seis marcas. Enquanto a Samsung e a LG tiveram um bom desempenho, foram encontradas falhas graves em três modelos chineses. O X50 Ultra da Dreame permitia a ativação remota da câmera. O pesquisador Dennis Giese posteriormente relatou uma vulnerabilidade TLS no aplicativo da Dreame à CISA. A Dreame não respondeu às perguntas da CISA.
O padrão se repete: os fabricantes comercializam aspiradores com falhas de segurança clássicas, ignoram os pesquisadores e, em seguida, entram em pânico quando os jornalistas publicam as descobertas.
A resposta inicial da DJI piorou a situação. A porta-voz Daisy Kong disse ao The Verge que a falha havia sido corrigida na semana anterior. Essa declaração foi feita cerca de trinta minutos antes de Azdoufal demonstrar que milhares de robôs, incluindo a unidade de teste do próprio jornalista, ainda estavam funcionando. Posteriormente, a DJI divulgou uma declaração mais completa reconhecendo um problema de validação de permissão de back-end e dois patches, em 8 e 10 de fevereiro.
A DJI afirmou que a criptografia TLS sempre esteve em vigor, mas Azdoufal diz que isso protege a conexão, não o que está dentro dela. Ele também disse ao The Verge que vulnerabilidades adicionais permanecem sem correção, incluindo um bypass de PIN na transmissão da câmera.
Os reguladores estão pressionando
A regulamentação está chegando, lentamente. A Lei de Resiliência Cibernética da UE exigirá segurança obrigatória por padrão para todos os produtos conectados vendidos no bloco até dezembro de 2027, com multas de até € 15 milhões. A Lei PSTI do Reino Unido, em vigor desde abril de 2024, tornou-se a primeira lei do mundo a proibir senhas padrão em dispositivos inteligentes. A Cyber Trust Mark dos EUA, por outro lado, é voluntária. Essas estruturas se aplicam tecnicamente independentemente da localização do fabricante. Na prática, aplicar multas a uma empresa de Shenzhen que ignora as solicitações de coordenação da CISA é uma proposta totalmente diferente.
Como se manter seguro
Existem medidas práticas que você pode tomar:
- Verifique os testes de segurança independentes antes de comprar dispositivos conectados.
- Coloque os dispositivos IoT em uma rede separada para visitantes.
- Mantenha o firmware atualizado
- Desative os recursos que você não precisa
E pergunte a si mesmo se um aspirador realmente precisa de uma câmera. Muitos modelos apenas com LiDAR navegam com eficácia sem vídeo. Se o seu dispositivo incluir uma câmera ou microfone, considere se você se sente confortável com essa exposição — ou cubra fisicamente a lente quando não estiver em uso.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
