O dono de um aspirador DJI Romo só queria ligar o seu dispositivo a um comando da PS5. Contudo, acabou por conseguir controlar quase 7000 robôs aspiradores.

De nome Sammy Azdoufal, um utilizador da DJI recorreu ao Claude Code para criar uma aplicação que ligasse o seu novo aspirador Romo a um comando de PS5.

Depois, sem que tivesse tentado fazê-lo, descobriu que o seu dispositivo "era apenas um num oceano de dispositivos": a aplicação não estava apenas a controlar o seu aspirador, estava a controlar milhares.

Por acidente, Azdoufal tinha assumido o controlo de aproximadamente 7000 aspiradores robô DJI em todo o mundo, cada um deles a responder a código que ele pretendia usar apenas no seu próprio dispositivo.

Em entrevista ao The Verge, o engenhoso Sammy Azdoufal assegurou que não procurou hackear servidores da DJI. Em vez disso, extraiu o token privado do seu próprio Romo, uma chave destinada a provar que tem permissão para aceder à sua própria máquina.

Contudo, os servidores da DJI entregaram dados de milhares de outros clientes: "Não infringi nenhuma regra. Não contornei, não usei força bruta ou algo do género."

Com apenas um número de 14 dígitos, Azdoufal teve acesso a uma série de dados e ações:

Controlar remotamente os robôs aspiradores;

Ver transmissões de câmaras em direto;

Ouvir através de microfones;

Verificar níveis de bateria;

Gerar um mapa completo em 2D de cada casa.

Usando o endereço IP, podia ainda estimar a localização do dispositivo, conforme a reportagem do mesmo website, que cita que o proprietário chegou até a aceder aos servidores de pré-produção da DJI, juntamente com sistemas ativos nos Estados Unidos, China e União Europeia, embora tenha afirmado que a sua ferramenta apagava os dados sempre que se fechava.

Dono do robô aspirador pressionou a DJI sobre a falha de segurança

Conforme contou, apesar de as pessoas seguirem "os programas de recompensas por [deteção de] bugs pelo dinheiro", ele só queria ver a questão resolvida pela DJI.

Numa declaração ao The Verge, a empresa afirmou que resolveu o problema antes da publicação da notícia, escrevendo o seguinte:

A DJI pode confirmar que o problema foi resolvido na semana passada e que a resolução já estava em curso antes da divulgação pública.

Depois disso, Azdoufal já não deveria conseguir ver nem ouvir através de outros robôs aspiradores. Contudo, cerca de meia hora depois de a DJI enviar a sua declaração, o utilizador disse que ainda conseguia controlar milhares de aspiradores remotamente.

Além disso, alegou que continuam a existir fraquezas adicionais, incluindo a possibilidade de os utilizadores verem a sua própria transmissão de vídeo do DJI Romo sem o código de segurança exigido.

Hacking acidental levanta questões de segurança

Embora acidental, este acontecimento levanta sérias questões sobre a segurança e as políticas de dados de empresas que, pelos seus produtos, têm acesso a largas e variadas quantidades de dados.

Particularmente sobre a DJI, se Azdoufal conseguiu encontrar os robôs aspiradores sem sequer os procurar, será que os dispositivos estão protegidos contra atores com intenções maliciosas?

Conforme questionado, se o Claude Code consegue espreitar dentro da casa de alguém, o que impede um funcionário da DJI de fazer o mesmo?