Proponha uma correção, faça uma sugestão
Como um utilizador conseguiu controlar quase 7000 robôs aspiradores da DJI
O dono de um aspirador DJI Romo só queria ligar o seu dispositivo a um comando da PS5. Contudo, acabou por conseguir controlar quase 7000 robôs aspiradores.
De nome Sammy Azdoufal, um utilizador da DJI recorreu ao Claude Code para criar uma aplicação que ligasse o seu novo aspirador Romo a um comando de PS5.
Depois, sem que tivesse tentado fazê-lo, descobriu que o seu dispositivo "era apenas um num oceano de dispositivos": a aplicação não estava apenas a controlar o seu aspirador, estava a controlar milhares.
Por acidente, Azdoufal tinha assumido o controlo de aproximadamente 7000 aspiradores robô DJI em todo o mundo, cada um deles a responder a código que ele pretendia usar apenas no seu próprio dispositivo.
Em entrevista ao The Verge, o engenhoso Sammy Azdoufal assegurou que não procurou hackear servidores da DJI. Em vez disso, extraiu o token privado do seu próprio Romo, uma chave destinada a provar que tem permissão para aceder à sua própria máquina.
Contudo, os servidores da DJI entregaram dados de milhares de outros clientes: "Não infringi nenhuma regra. Não contornei, não usei força bruta ou algo do género."
Azdoufal afirma que podia controlar robôs aspiradores remotamente e visualizar vídeos em direto através da Internet. Crédito: The Verge
Com apenas um número de 14 dígitos, Azdoufal teve acesso a uma série de dados e ações:
- Controlar remotamente os robôs aspiradores;
- Ver transmissões de câmaras em direto;
- Ouvir através de microfones;
- Verificar níveis de bateria;
- Gerar um mapa completo em 2D de cada casa.
Usando o endereço IP, podia ainda estimar a localização do dispositivo, conforme a reportagem do mesmo website, que cita que o proprietário chegou até a aceder aos servidores de pré-produção da DJI, juntamente com sistemas ativos nos Estados Unidos, China e União Europeia, embora tenha afirmado que a sua ferramenta apagava os dados sempre que se fechava.
Dono do robô aspirador pressionou a DJI sobre a falha de segurança
Conforme contou, apesar de as pessoas seguirem "os programas de recompensas por [deteção de] bugs pelo dinheiro", ele só queria ver a questão resolvida pela DJI.
Numa declaração ao The Verge, a empresa afirmou que resolveu o problema antes da publicação da notícia, escrevendo o seguinte:
A DJI pode confirmar que o problema foi resolvido na semana passada e que a resolução já estava em curso antes da divulgação pública.
Depois disso, Azdoufal já não deveria conseguir ver nem ouvir através de outros robôs aspiradores. Contudo, cerca de meia hora depois de a DJI enviar a sua declaração, o utilizador disse que ainda conseguia controlar milhares de aspiradores remotamente.
Além disso, alegou que continuam a existir fraquezas adicionais, incluindo a possibilidade de os utilizadores verem a sua própria transmissão de vídeo do DJI Romo sem o código de segurança exigido.
Hacking acidental levanta questões de segurança
Embora acidental, este acontecimento levanta sérias questões sobre a segurança e as políticas de dados de empresas que, pelos seus produtos, têm acesso a largas e variadas quantidades de dados.
Particularmente sobre a DJI, se Azdoufal conseguiu encontrar os robôs aspiradores sem sequer os procurar, será que os dispositivos estão protegidos contra atores com intenções maliciosas?
Conforme questionado, se o Claude Code consegue espreitar dentro da casa de alguém, o que impede um funcionário da DJI de fazer o mesmo?
Loading ...
Parece-me a mim que os operadores de telecomunicações deviam ser os primeiros a demonstrar preocupação e por isso, soluções de mitigação em prol dos seus utilizadores. Provavelmente 99% dos utilizadores não percebe nada de redes de comunicações nem muito menos o que acontece quando se ligam dispositivos destes à rede. O operador deviam ter capacidade de proteger os utilizadores, onde pelo menos pudessem lançar alguns alertas e sugestão de resolução. No mundo do AI isto é facílimo e sim, é possível manter a dita neutralidade do operador. Do ponto de vista de redes de comunicações há várias medidas de mitigação que travam estes comportamentos abusivos. Não, não evitam, mas travam.
GRANDE LOL
Em vez de seres tóxico podias explicar que o que ele propõe não é fazível porque os operadores não atuam ao nível da camada aplicacional, a não ser para classificação de tráfego para definição de prioridade/QoS.
Podias em seguida usar uma analogia : os operadores funcionam como uma “empresa transportadora de encomendas, passam pacotes dum lado para o outro mas não vêem o que lá vai dentro”.
O comentário dele faz sentido dum ponto de vista high level de alguém sem conhecimentos profundos de redes (99% das pessoas).
Em vez de contribuíres para este espaço de comentários preferes humilhar e isso demonstra a qualidade (ou falta dela) da tua pessoa.
devias trocar de nick com o capitão 🙂
Lendo o artigo, não vejo maneira de mitigar este problema do lado das comunicações.
Estes equipamentos funcionam normalmente em Outbound Connection, fazendo Pooling a um servidor externo…
Estes servidores, não têm um IP fixo (unicast), por norma usam CDN (Content Delivery Network) e Anycast Routing, pelo que se torna difícil bloquear a comunicação (outbound) de um dispositivo a um só IP externo.
Neste caso concreto, o problema era nos servidores da DJI, pelo que a comunicação do lado do dispositivo era sempre fidedigna.
Em minha casa, toda a domótica é local, sem qualquer comunicação com o exterior, no entanto 2 classes de dispositivos não consegui bloquear na totalidade: Aspirador e colunas Google. O melhor que consegui foi restringir a uma lista de IPs, mas sei que a qualquer altura pode aparecer um IP novo que ainda não tenho na lista e o equipamento deixa de funcionar ou algum IP sair da infrastrutura da Google, mas ainda estar na whitelist das colunas…
Agora pergunto eu, porque raio é que um aspirador tem que estar ligado à internet?!
Tem lógica a tua pergunta, mas, na verdade, estes robôs estão ligados à internet para beneficiarem dos serviços cloud, com ligação à app e a outras plataformas do utilizador.
Se for opcional, para muitos gadgets não é essa a realidade. ET phone home ou ganhas um novo pisa papéis.
Como o que tenho aqui em casa, este tipo de aspirador liga-se à cloud do serviço para fazer a ponte entre o dispositivo e a app. Se não queres ter este serviço, não o ligues à app e clica apenas no botão.
não é um aspirador de mão.. é um robot aspirador, se não percebes porque é util a ligação à internet imagino que não tenhas um
Porque será que preciso de um aspirador que tenho ligação á net?… Tenho por aqui dois que funcionam perfeitamente, e não precisam de ligações á internet!
@Zé Fonseca A, também não percebi porque é que um aspirador (robot) precisa de ligação à internet.
Poderias fazer o obséquio de me iluminares com a tua imensa sabedoria?
dá mais poder de sucção em 1 pa e aumenta a capacidade do deposito de água em 1 ml…
que queres que ilumine além do obvio?
Somente para simplificar a vida (da maioria dos utilizadores e do fabricante)!
Para se comandar o aspirador é necessária uma APP e via internet, é a forma mais simples de criar um sistema universal, que funciona dentro e fora de casa, simples de configurar e de usar.
Idealmente, deveriam sempre permitir o funcionamento local, mesmo que um pouco mais limitado e quem assim o quisesse manter, só comunicava com a APP dentro da rede WIFI de casa ou com VPN.
É uma app para o aspirador, outra para o micro ondas, outra para o frigorífico, outra para o lava loiças, etc.… tudo muito prático… obrigado, mas não obrigado.
não necessariamente, podes ter ecossistema do mesmo fabricante e ficar com tudo centralizado numa aplicação ou para os geeks que gostam de ter o seu projecto de fim-de-semana HA + HB + NodeRed, overkill para um apartamento, um must have para moradias.
é tudo uma questão de escolhas… Tanto se pode comprar uma máquina da roupa com APP, como outra sem.
Para mim, também não faz muito sentido tanto eletrodoméstico conectado, alguns parece que é só porque sim e no fundo pouco ou nada de útil acrescenta.
No entanto, consigo ver vantagens em muitos outros, inclusive na aspirador robot.
Para mim, tendo preocupações com a segurança e continuidade das funções em dispositivos geridos na Cloud, só considero que deveriam sempre que possível, ter o modo Local, sem recurso a Internet.
Um router jeitoso, segmentação da rede interna, uma vlan para dispositivos IOT sem acesso à internet e já está! Para gerir via internet, VPN com Wireguard ou Tailscale.
Ora nem mais quem sabe sabe. Enquanto houver alguma escolha não estamos mal mas compreendo o trauma até porque tem razão de ser.
↑ isto ↑
Continuo na minha, vai aspirar melhor por ter serviços cloud e afins?… não vejo razão se ser assim, estão a complicar uma coisa simples… Call me old fashioned!.:)
Não é uma questão de ser melhor, é uma questão de comodidade. Através da APP tens muitas mais opções do que através de um comando. Por exemplo , acabas de entornar um copo de leite na cozinha, pode dar instrução para passar a mopa especificamente naquela área em vez de todo um compartimento. Mas a maior vantagem é estares noutro local e activares remotamente a limpeza.
deves passar o dia inteiro em casa
vou fazer uma APP para a minha vassoura, depois partilho 🙂