Sammy Azdoufal queria controlar o seu robô aspirador com um comando PS5. Como qualquer bom criador, ele achou que seria divertido conduzir manualmente um novo DJI Romo. Acabou por obter acesso a um exército de robôs aspiradores que lhe deram acesso a milhares de casas.
Motivado por razões puramente lúdicas, Azdoufal utilizou o assistente de codificação Claude Code AI da Anthropic para fazer engenharia reversa dos protocolos de comunicação do seu Romo. Mas quando a sua aplicação caseira se ligou aos servidores da DJI, cerca de 7000 aspiradores robóticos em 24 países começaram a responder.
Ele podia assistir às transmissões ao vivo das câmaras, ouvir através dos microfones integrados e gerar plantas baixas de casas que nunca tinha visitado. Com apenas um número de série de 14 dígitos, ele localizou o robô de um jornalista da Verge, confirmou que estava a limpar a sala de estar com 80% da bateria e produziu um mapa preciso da casa a partir de outro país.
A falha técnica foi quase comicamente básica. O broker de mensagens MQTT da DJI não tinha controlos de acesso ao nível do tópico. Depois de se autenticar com um único token de dispositivo, era possível ver o tráfego de outros dispositivos em texto simples.
Não foram apenas os aspiradores que responderam. As estações de bateria portáteis Power da DJI, que funcionam com a mesma infraestrutura MQTT, também apareceram. Trata-se de geradores de reserva domésticos expansíveis até 22,5 kWh, comercializados para manter a sua casa a funcionar durante falhas de energia.
O que torna isso diferente de uma descoberta de segurança convencional é como isso aconteceu. Azdoufal usou o Claude Code para descompilar o aplicativo móvel da DJI, entender o seu protocolo, extrair o seu próprio token de autenticação e criar um cliente personalizado.
As ferramentas de codificação de IA estão a baixar o nível de exigência para a segurança ofensiva avançada. A população capaz de sondar os protocolos da Internet das Coisas (IoT) ficou muito maior, corroendo ainda mais qualquer confiança remanescente na segurança por meio da obscuridade.
Por que muitos aspiradores IoT são ruins
Esta não é a primeira vez que alguém controla remotamente um aspirador robô. Em 2024, hackers assumiram o controlo dos aspiradores Ecovacs Deebot X2 em várias cidades dos EUA, gritando insultos pelos altifalantes e perseguindo animais de estimação. A proteção por PIN da Ecovacs era verificada apenas pela aplicação, nunca pelo servidor ou pelo dispositivo.
Em setembro passado, o órgão de defesa do consumidor da Coreia do Sul testou seis marcas. Enquanto a Samsung e a LG tiveram um bom desempenho, foram encontradas falhas graves em três modelos chineses. O X50 Ultra da Dreame permitia a ativação remota da câmara. O investigador Dennis Giese posteriormente relatou uma vulnerabilidade TLS no aplicativo da Dreame à CISA. A Dreame não respondeu às perguntas da CISA.
O padrão continua a repetir-se: os fabricantes enviam aspiradores com falhas de segurança clássicas, ignoram os investigadores e depois entram em pânico quando os jornalistas publicam as notícias.
A resposta inicial da DJI piorou a situação. A porta-voz Daisy Kong disse ao The Verge que a falha havia sido corrigida na semana anterior. Essa declaração foi feita cerca de trinta minutos antes de Azdoufal demonstrar que milhares de robôs, incluindo a unidade de teste do próprio jornalista, ainda estavam a transmitir ao vivo. Posteriormente, a DJI emitiu uma declaração mais completa reconhecendo um problema de validação de permissão de back-end e dois patches, em 8 e 10 de fevereiro.
A DJI afirmou que a encriptação TLS sempre esteve em vigor, mas Azdoufal diz que isso protege a ligação, não o seu conteúdo. Ele também disse ao The Verge que vulnerabilidades adicionais continuam sem correção, incluindo um bypass de PIN na transmissão da câmara.
Os reguladores estão a exercer pressão
A regulamentação está a chegar, lentamente. A Lei de Resiliência Cibernética da UE exigirá segurança obrigatória por design para todos os produtos conectados vendidos no bloco até dezembro de 2027, com multas de até € 15 milhões. A Lei PSTI do Reino Unido, em vigor desde abril de 2024, tornou-se a primeira lei do mundo a proibir senhas padrão em dispositivos inteligentes. A Cyber Trust Mark dos EUA, por outro lado, é voluntária. Essas estruturas se aplicam tecnicamente independentemente da localização do fabricante. Na prática, aplicar multas a uma empresa de Shenzhen que ignora as solicitações de coordenação da CISA é uma proposta totalmente diferente.
Como se manter seguro
Existem medidas práticas que pode tomar:
- Verifique os testes de segurança independentes antes de comprar dispositivos conectados
- Coloque os dispositivos IoT numa rede separada para convidados
- Mantenha o firmware atualizado
- Desative os recursos que não precisa
E pergunte-se se um aspirador realmente precisa de uma câmara. Muitos modelos apenas com LiDAR navegam eficazmente sem vídeo. Se o seu dispositivo incluir uma câmara ou microfone, considere se se sente confortável com essa exposição — ou cubra fisicamente a lente quando não estiver em uso.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
