O que começou como uma experiência recreativa para controlar um aspirador robô através de um comando de consola acabou por revelar uma das vulnerabilidades mais graves no setor doméstico. Sammy Azdoufal, ao tentar personalizar a experiência com o seu novo DJI Romo, descobriu que tinha acesso total a cerca de 7.000 dispositivos em todo o mundo. O problema não residia num ataque complexo aos servidores, mas sim numa falha elementar de permissões.
Ao analisar os protocolos de comunicação da marca, Azdoufal percebeu que, ao extrair o seu próprio token de acesso, os servidores da DJI permitiam-lhe visualizar as comunicações de milhares de outros utilizadores. O cenário tornou-se ainda mais alarmante quando a contagem subiu para os 10.000 dispositivos, ao incluir as estações de energia portáteis da empresa, que partilham a mesma infraestrutura de rede.
Um aspirador com olhos em todo o mundo
A vulnerabilidade permitia que um estranho pudesse, remotamente, ver e ouvir através das câmaras e microfones dos aparelhos. Azdoufal conseguiu aceder a plantas 2D detalhadas das casas dos utilizadores, observar o estado da bateria e até identificar a localização aproximada de cada robô através do endereço IP. Durante uma demonstração, foi possível verificar em tempo real o fluxo de informações que os dispositivos enviavam a cada três segundos para os servidores.
O investigador utilizou ferramentas de IA para ajudar no processo de engenharia reversa dos protocolos da DJI, expondo que os dados eram transmitidos de forma insegura. Através do sistema de mensagens MQTT, qualquer cliente autenticado sem os controlos de acesso adequados conseguia subscrever canais de informação globais e ler as mensagens de todos os aparelhos ligados àquela rede. Esta falha ignorava inclusivamente os códigos PIN de segurança definidos pelos proprietários para proteger o acesso à câmara.
A resposta da DJI e o estado do setor
Quando confrontada com esta exposição de dados, a DJI afirmou inicialmente que o problema já tinha sido resolvido antes da divulgação pública. No entanto, verificou-se que a correção foi aplicada por etapas, deixando muitos dispositivos vulneráveis durante vários dias. Segundo a informação detalhada pelo portal The Verge, a fabricante chinesa admitiu posteriormente um erro na validação de permissões no backend, garantindo que a situação está agora totalmente sanada.
Este incidente não é isolado no mundo da casa inteligente. Marcas como a Ecovacs e a Dreame também enfrentaram críticas recentes por falhas que permitiam o acesso remoto às câmaras dos seus aspiradores. A situação levanta questões pertinentes sobre a necessidade de microfones e câmaras permanentes em eletrodomésticos de limpeza, especialmente quando a segurança das comunicações em nuvem se revela tão frágil. Embora a DJI tenha encerrado esta porta de entrada, investigadores de segurança alertam que a proteção de dados deve ser garantida na origem e não apenas através de correções reativas.
Nenhum comentário
Seja o primeiro!