Homem acaba controlando 7 mil robôs aspiradores por acidente

 (popsci.com)
5 pontos por GN⁺ 2026-02-23 | 1 comentários | Compartilhar no WhatsApp
  • Um engenheiro de software acabou obtendo acesso a 7 mil dispositivos ao tentar controlar um robô aspirador da DJI com um controle de videogame
  • Durante o desenvolvimento de um app próprio, ele usou um assistente de programação com IA para fazer engenharia reversa da comunicação em nuvem e encontrou uma falha de segurança na qual as mesmas credenciais também funcionavam em outros dispositivos
  • Isso poderia expor informações sensíveis, como vídeo da câmera em tempo real, áudio do microfone e dados de mapas, em dispositivos de 24 países
  • Em vez de explorar a falha, ele denunciou o caso ao The Verge, e a DJI afirmou ter distribuído imediatamente um patch e concluído a correção do problema
  • O caso chama atenção como exemplo de alerta sobre as vulnerabilidades de segurança de dispositivos de casa inteligente e a amplificação de riscos que ferramentas de IA podem provocar

Grande falha de segurança descoberta em robôs aspiradores da DJI

  • O engenheiro Sammy Azdoufal encontrou o problema enquanto desenvolvia um app para controlar seu robô aspirador DJI Romo com um controle de videogame
    • Usando um assistente de programação com IA, ele analisou a comunicação entre o robô e os servidores em nuvem da DJI
    • O servidor não validava apenas a autenticação de um único dispositivo e acabava concedendo o mesmo acesso a milhares de outros aparelhos
  • Como resultado, ele conseguiu acessar câmeras, microfones, mapas e dados de status de mais de 7 mil robôs aspiradores
    • Pelos endereços IP, também foi possível verificar a localização aproximada dos dispositivos
    • Ele explicou que não se tratava de “hacking”, mas de um problema de segurança descoberto por acaso

Resposta da DJI e patch de segurança

  • A DJI informou que, em uma análise interna no fim de janeiro, confirmou uma vulnerabilidade relacionada ao DJI Home e iniciou imediatamente o processo de correção
    • Em 8 de fevereiro, distribuiu o primeiro patch e, em 10 de fevereiro, um update complementar foi enviado automaticamente
    • O problema foi resolvido sem exigir qualquer ação dos usuários
  • A DJI afirmou que pretende continuar aplicando medidas adicionais de reforço de segurança, mas não divulgou detalhes
  • Azdoufal relatou o problema ao The Verge, ajudando a DJI a reagir rapidamente

Crescem as preocupações com a segurança de dispositivos de casa inteligente

  • O incidente mostra que robôs conectados à internet e dispositivos de casa inteligente podem se tornar alvos atraentes para hackers
  • Casos recentes, como a polêmica dos anúncios das câmeras Ring e o episódio de recuperação de vídeos do Google Nest, vêm aumentando a ansiedade dos consumidores em relação à privacidade
  • Nos Estados Unidos, já houve casos de proibição de alguns produtos com base em riscos de segurança de produtos tecnológicos chineses, incluindo os da DJI

A expansão da casa inteligente e o paradoxo da privacidade

  • Em 2020, 54 milhões de lares nos Estados Unidos já possuíam dispositivos de casa inteligente
    • Quem instala esse tipo de produto uma vez tende a comprar dispositivos adicionais depois
  • Empresas como Tesla, Figure e 1X estão desenvolvendo robôs humanoides para uso doméstico, e alguns já estão à venda
    • Como esses robôs precisam coletar detalhes do interior das casas, o risco de exposição de dados pessoais aumenta

O desafio de equilibrar avanço tecnológico e segurança

  • Ferramentas de programação baseadas em IA aumentam a eficiência do desenvolvimento, mas também elevam a possibilidade de que até não especialistas explorem vulnerabilidades
  • O caso é visto como um lembrete da importância da gestão de segurança em ambientes que combinam IA e IoT
  • Azdoufal acabou conseguindo atingir seu objetivo inicial de controlar o robô com um controle de videogame, mas no processo revelou uma brecha na segurança da casa inteligente

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-23
Opiniões do Hacker News

  • Ele descobriu que, com as credenciais de controle do próprio dispositivo, conseguia acessar câmeras, microfones, mapas e dados de status de cerca de 7.000 robôs aspiradores em 24 países ao redor do mundo
    No ano passado, eu divulguei um problema exatamente igual nos termostatos inteligentes Mysa, em que as mesmas credenciais permitiam controlar todos os dispositivos
    Os detalhes estão reunidos em um tópico anterior no HN

    • Esses aparelhos podem acabar sendo, na prática, ferramentas de espionagem perfeitas
      Dá medo pensar que um aspirador barato possa espionar dentro de casa
    • A história do termostato inteligente é especialmente assustadora
      O mini split Haier da minha casa também se conecta por Wi‑Fi via app GE Home e envia dados para a GE Cloud
      Usei uma vez, depois troquei a senha do Wi‑Fi e nunca mais conectei
      Mais para frente, pretendo controlar tudo eu mesmo com ESP32, sensores e transmissor/receptor IR
      Se houver uma vulnerabilidade num sistema desses, fico pensando que um atacante poderia causar até um pico enorme de demanda de energia
    • Fico me perguntando se, para cortar custos, eles deixaram de instalar uma chave única em cada aparelho durante a fabricação

  • Agora parece que estamos em renúncia total à privacidade
    As pessoas aceitam com naturalidade que câmeras dentro de casa se conectem a servidores externos
    A minoria que se importa acaba abafada pela maioria
    No fim, só quem se preocupa com privacidade sai perdendo

  • Meu Roomba está configurado para funcionar todos os dias às 17h, mas várias vezes acordou sozinho às 19h, entrou no quarto e ficou lá de 5 a 10 minutos antes de voltar
    Não faço ideia do motivo

    • Fico me perguntando se pelo menos ele está limpando
      Pelo que você descreveu, parece que ele literalmente para ao lado da cama e depois vai embora

  • Por um breve momento, houve um homem que aspirou mais do que qualquer outro na história da humanidade
    (uma piada com o caso dos robôs aspiradores)

  • Eu prefiro dispositivos sem conexão com a internet
    As funções básicas deveriam funcionar de forma estável offline, e a internet idealmente só deveria oferecer recursos extras por meio de protocolos de segurança abertos
    Assim também fica possível implementar por conta própria

  • Há 10 anos, numa startup, usávamos um provedor de 401k, e quando fiz login, consegui ver informações das contas dos meus colegas
    O isolamento entre contas estava completamente quebrado
    Fiquei chocado, mas deixei passar em silêncio para evitar expor a privacidade de todo mundo
    Hoje acho que eu deveria ter levantado o problema de forma mais ativa

    • Eu também tento agir com cautela no dia a dia
      Mas, se a outra parte responde de forma displicente, aí sim acho que vale a pena tornar o problema público

  • Graças ao avanço da tecnologia, a piada do Steven Wright agora virou realidade em escala de internet:
    “Liguei um interruptor que não faz nada e recebi uma ligação da Alemanha”

  • Artigo original: The Verge - vulnerabilidade de hack no DJI Romo
    Discussão relacionada no HN: link

  • Eu comprei de propósito um modelo sem câmera nem microfone

    • Minha Eufy diz que faz todo o processamento localmente
      Eu não verifiquei isso de fato, mas foi a única marca chinesa que vi mencionar localização dos dados e privacidade, então acabei escolhendo ela
      Claro, sei que isso pode mudar a qualquer momento com uma atualização de firmware
      Ainda assim, estou satisfeito porque a qualidade pelo preço é boa
    • Acho que o antigo modo de movimentação aleatória da Roomba foi subestimado
      Visualmente parecia ineficiente, mas na prática a limpeza era bem decente
    • Queria saber se existe algum desses modelos sem câmera que também tenha função de esvaziamento automático
    • Também gostaria de saber se há alguma forma de confirmar que realmente não existe câmera nem microfone
    • E eu perguntaria de volta se o microfone do smartphone também é aceitável então

  • Acho que qualquer pessoa com um mínimo de intimidade técnica deveria comprar um aspirador compatível com Valetudo e substituir o software padrão
    Site oficial do Valetudo

    • Mas mudei de ideia depois de ler a página “Why Not Valetudo” daquele site
      Eu tenho intimidade técnica, mas uso robô aspirador para economizar tempo e fazer coisas mais valiosas
      O Valetudo não atende a esse objetivo
      É um projeto legal, mas não é a melhor escolha para todo mundo
    • Fico curioso se o Claude conseguiria ajudar alguém sem familiaridade técnica a fazer a configuração