Fevereiro foi um mês turbulento para DJI. A gigante tecnológica chinesa, mais conhecida por fabricar drones, intensificou a sua luta contra a proibição dos drones nos EUA ao processando a FCC. Então a Internet explodiu em um dispositivo DJI totalmente diferente: o aspirador robô Romo.
Milhares de aspiradores Romo e suas câmeras ao vivo em todo o mundo foram hackeados – e não por um gênio do mal sentado em uma sala cercada por telas, mas por um cara tentando fazer com que seu controlador PS5 controlasse seu aspirador robô.
Sammy Azdoufal disse A beira ele não estava tentando para hackear o aspirador de robô de qualquer outra pessoa. Foi apenas um projeto divertido para o engenheiro de software, que alertou a DJI sobre seu enorme erro de autenticação – enquanto compartilhava o pouco trabalho necessário para acessar os detalhes da casa de um proprietário de Romo.
Firefox adiciona interruptor de eliminação de IA para usuários que estão fartos de tudo com IA
E sim, a IA estava envolvida. Azdoufal é especialista em estratégia de IA; ele obteve ajuda de codificação do assistente de IA Claude para alterar o protocolo de comunicação entre os servidores da DJI e seu Romo.
Depois de criar um aplicativo personalizado para a configuração do seu PlayStation, Azdoufal descobriu que estava olhando caminho mais do que os dados do seu próprio robô aspirador. Ele acidentalmente desbloqueou os dados de milhares de proprietários de aspiradores de robôs DJI em todo o mundo.
As informações expostas não eram apenas plantas baixas de casas em 3D, o que já seria ruim o suficiente. Mas as imagens da câmera ao vivo e o áudio do microfone do dispositivo também estavam acessíveis.
Relatório de tendências do Mashable
Em 24 de fevereiro, a DJI corrigiu o problema restringindo o acesso a essa brecha de autenticação, descobriu Azdoufal. Enquanto isso, o próprio Romo parece ter desaparecido da loja online da DJI, em 26 de fevereiro.
Novo medo desbloqueado: seu robô aspira como espião
Mesmo com esse problema resolvido, a ideia de que alguém possa espioná-lo por meio do aspirador robô não aumenta exatamente a confiança em toda a categoria. E se outra marca de robô aspirador de câmera tiver uma falha de segurança semelhante não descoberta – e se a pessoa que a descobrir não for tão boa quanto Azdoufal?
Tivemos vislumbres desse tipo de vulnerabilidade no passado. Em 2024, vários aspiradores de robô Ecovacs Deebot X2 nos EUA foram hackeados e obrigados a gritar insultos raciais aos proprietários. Outros dispositivos domésticos inteligentes com câmeras enfrentaram violações de segurança, desde monitores de bebê para campainhas inteligentes.
Mas um aspirador robô é o único tipo de dispositivo que circula regularmente pela sua casa. Isso dá a essa vulnerabilidade uma sensação única de pressentimento, talvez o suficiente para fornecer o enredo de um filme de terror encontrado.
E, claro, há ainda mais oportunidades para maus atores quando a IA tem acesso a informações pessoais.
Microsoft diz que Copilot estava resumindo e-mails confidenciais sem permissão
Eu testo aspiradores robóticos para ganhar a vida e realmente não quero ficar paranóico com o uso da câmera. A câmera de transmissão ao vivo é um recurso de aspirador de robô incrivelmente reconfortante para pais de animais de estimação que ficam ansiosos em deixar os animais de estimação sozinhos em casa.
Todos os robovacs que testei anunciaram em voz alta quando estão no modo de visualização remota. Mas nem todos os aspiradores de robô fornecem essa notificação de cortesia (o DJI Romo, por exemplo, não oferece).
De qualquer forma, se um hacker conseguisse chegar ao ponto de controlar a câmera do aspirador, seria tão difícil para ele desativar o aviso? Embora o problema persista, pode ser aconselhável desativar a câmera do aspirador, pelo menos quando não estiver em uso, com o hack de tecnologia mais baixa de todos: colocar fita adesiva sobre ela.
Tópicos
Robôs aspiradores de segurança cibernética
