Falha grave permitia acesso remoto a robôs aspiradores da DJI por qualquer pessoa

Um pesquisador de segurança chamado Sammy Azdoufal identificou uma falha crítica no robô aspirador DJI Romo que permitia o acesso remoto aos dispositivos por qualquer pessoa. A vulnerabilidade foi descoberta quando Azdoufal tentou controlar o aparelho utilizando um controle de PlayStation 5.

Ao se conectar aos servidores da DJI, o aplicativo desenvolvido pelo pesquisador não se limitou ao robô específico, passando a ter visibilidade sobre cerca de 7 mil robôs aspiradores distribuídos em 24 países. Considerando outros produtos da empresa que utilizam a mesma infraestrutura, o número ultrapassava 10 mil dispositivos.

Com apenas o número de série de um robô, era possível acessar em tempo real informações como status do aparelho, nível de bateria, ambientes em limpeza, mapas completos das residências e até transmissões ao vivo das câmeras, tudo isso sem a necessidade do PIN de segurança.

Após a divulgação do problema, a DJI corrigiu a vulnerabilidade.