Sammy Azdoufal, líder de estratégia de IA em uma empresa de aluguel de temporada, buscava criar um controle remoto personalizado para interagir com seu aspirador de pó DJI Romo usando um PlayStation 5. Durante o processo, que incluiu engenharia reversa dos protocolos do dispositivo, ele identificou uma falha crítica que expunha milhares de equipamentos conectados.
Ao testar seu aplicativo, Azdoufal notou que estava obtendo acesso não apenas ao seu aparelho, mas a cerca de 7 mil aspiradores de pó em 24 países. Em nove minutos, seu computador catalogou os dispositivos, revelando que era possível acessar áudio e vídeo ao vivo, plantas baixas em 2D das residências, localização aproximada via IP e monitorar status em tempo real. O problema foi causado pela falta de validação de permissões nos servidores da DJI, que permitiam a visualização clara de dados que deveriam estar criptografados.
A empresa divulgou um comunicado admitindo um “problema de validação de permissões”, mas classificou a falha como risco teórico e rara. Segundo a DJI, medidas corretivas foram aplicadas em fevereiro após a descoberta, mas a vulnerabilidade continuou ativa até a quarta-feira seguinte, quando a companhia realizou um reinício no sistema após ser comprovada a persistência do erro.
O caso levanta questionamentos sobre a segurança em dispositivos domésticos e o uso de microfones em equipamentos como aspiradores de pó. Embora o controle em massa tenha sido bloqueado, Azdoufal ressaltou que outras falhas menores ainda podem existir e exigem atenção das fabricantes.
