Vulnerabilidade Inadvertida ExPõe Residências
Um incidente de segurança inesperado permitiu que um usuário obtivesse acesso remoto às câmeras de cerca de 7.000 aspiradores robôs DJI Romo em todo o mundo. A falha foi descoberta acidentalmente por Sammy Azdoufal, que desenvolveu um aplicativo para controlar seu próprio robô com um controle de PlayStation 5. O aplicativo de Azdoufal, ao se conectar aos servidores globais da DJI, concedeu-lhe um nível de acesso sem precedentes, incluindo a capacidade de visualizar e ouvir o que acontecia dentro das casas dos proprietários dos robôs.
Acesso Amplo e Demonstração em Tempo Real
Azdoufal relatou que, através da vulnerabilidade, era possível não apenas acessar as transmissões de vídeo e áudio dos robôs, mas também rastrear sua localização aproximada utilizando o endereço IP de unidades individuais. Em uma demonstração chocante para o site The Verge, ele conseguiu localizar o robô de um dos revisores da publicação, obter uma planta do apartamento e acessar um feed de vídeo ao vivo. O acesso também se estendia a estações de bateria portáteis DJI Power.
Sem Hacking, Mas com Riscos Significativos
Curiosamente, Azdoufal afirma não ter recorrido a métodos ilegais, como quebra de segurança ou hacking. Ele teria utilizado um token privado de seu próprio robô, e os servidores da DJI, por razões ainda não totalmente esclarecidas, permitiram o acesso a um vasto leque de dados, incluindo servidores de pré-produção da empresa. Apesar da alegação de legalidade, a possibilidade de tal acesso levanta bandeiras vermelhas sobre a robustez da segurança implementada pela DJI.
Resposta da DJI e Preocupações Futuras
A DJI foi notificada sobre a vulnerabilidade antes mesmo da demonstração pública, e a empresa declarou ter corrigido as falhas. No entanto, a demonstração em tempo real fornecida por Azdoufal sugere que as correções podem não ter sido totalmente eficazes ou que outras vulnerabilidades persistem. A empresa comunicou ao The Verge que pretende resolver todas as questões pendentes em ‘semanas’. Enquanto isso, detalhes sobre algumas das vulnerabilidades descobertas estão sendo mantidos em sigilo para evitar exploração adicional. O incidente reitera a necessidade de vigilância constante na segurança de dispositivos de tecnologia doméstica conectada, onde a privacidade dos usuários é uma expectativa fundamental.
About The Author
