Engenheiro espanhol acidentalmente "assume" 7.000 robôs de limpeza DJI, mais uma vulnerabilidade na segurança de eletrodomésticos inteligentes
Dispositivos de casa inteligente trazem conveniência para a vida, mas também podem abrir portas para ameaças à segurança. Recentemente, um engenheiro de software espanhol descobriu por acaso que podia controlar remotamente cerca de 7.000 robôs de limpeza em todo o mundo, além de visualizar imagens em tempo real e coletar uma grande quantidade de informações dos dispositivos. Com o mercado de casas inteligentes previsto para atingir 139 bilhões de dólares até 2032, o crescimento acelerado do setor levanta uma questão crucial: as medidas de segurança acompanham o ritmo das inovações?
Tentativa de modificar o robô de limpeza e descoberta de vulnerabilidades globais
De acordo com a mídia tecnológica The Verge, o incidente ocorreu durante um experimento do engenheiro de software espanhol Sammy Azdoufal. Ele inicialmente queria fazer engenharia reversa no seu novo robô de limpeza DJI Romo para controlá-lo via comando de PlayStation 5.
No entanto, após estabelecer conexão entre seu aplicativo de controle remoto caseiro e os servidores da DJI, algo inesperado aconteceu: não apenas um robô respondeu, mas aproximadamente 7.000 robôs de limpeza ao redor do mundo passaram a reconhecê-lo como o proprietário.
Azdoufal descobriu que podia não só assistir às imagens ao vivo e ouvir sons captados pelos dispositivos, mas também coletar mais de 100.000 mensagens de diferentes robôs. Ainda mais surpreendente, ele conseguiu estimar a localização geográfica aproximada dos dispositivos através dos seus endereços IP.
Isso significa que, com as mesmas credenciais de acesso, é possível obter controle em larga escala sobre outros dispositivos de usuários.
Resposta da DJI: vulnerabilidade corrigida, Azdoufal preocupado com ações legais
É importante notar que Azdoufal afirmou não ter má intenção nem intenção de invadir outros dispositivos. Ele entrou em contato voluntariamente para relatar a vulnerabilidade, esperando que o problema fosse reconhecido e resolvido.
A DJI confirmou que o problema foi resolvido e agradeceu publicamente Azdoufal por sua denúncia na plataforma social X.
A DJI declarou: «Seu feedback responsável é extremamente valioso para nós.»
Azdoufal também respondeu de forma humorada na X, chamando-se de «o cara do aspirador» e brincando que recebeu muitas ofertas de robôs de limpeza gratuitos.
Apesar disso, devido à cobertura da mídia, Azdoufal teme que a DJI possa usar isso como justificativa para processá-lo.
Especialistas em segurança alertam: segurança de dispositivos inteligentes muitas vezes é negligenciada
Na realidade, esse não é um caso isolado. O professor de ciência da computação da Universidade de Surrey, Alan Woodward, afirmou que muitos fabricantes de produtos inteligentes priorizam a inovação e a entrada no mercado, deixando a segurança como uma questão secundária.
Woodward explica que a indústria costuma adotar uma mentalidade de «ação rápida e quebra de regras», buscando lançar produtos mais baratos e com mais funcionalidades, mas que, se a segurança não for considerada desde o início do desenvolvimento, o custo será pagar por vulnerabilidades no futuro.
Ele destaca que os problemas de segurança em dispositivos inteligentes não se limitam a erros de componentes de software isolados, mas envolvem o design do sistema como um todo, incluindo:
-
Como o software do dispositivo interage com os servidores na nuvem
-
Como os servidores se conectam aos aplicativos móveis
-
Se os mecanismos de autenticação isolam efetivamente diferentes usuários
Qualquer falha de design em um desses pontos pode gerar riscos em cadeia.
Expansão do mercado de casas inteligentes aumenta riscos
Segundo dados da consultoria MarketsandMarkets, o mercado global de casas inteligentes deve atingir 139 bilhões de dólares até 2032. Desde iluminação, fechaduras, câmeras de vigilância, monitores para bebês até sistemas de aquecimento, diversos dispositivos estão rapidamente integrando a vida doméstica.
No entanto, um estudo publicado no Journal of Information Security and Applications revelou que hackers já conseguiram controlar:
-
Sistemas de iluminação
-
Fechaduras eletrônicas
-
Câmeras de segurança
-
Monitores de bebê
-
Sistemas de aquecimento
-
Robôs de limpeza
O incidente com os robôs de limpeza é apenas um exemplo. Quanto mais dispositivos conectados, maior será a superfície de ataque potencial.
Causas das vulnerabilidades: credenciais padrão e isolamento de privilégios insuficiente
No caso do incidente com os robôs de limpeza, Azdoufal conseguiu controlar outros dispositivos porque suas credenciais de acesso permitiam acesso a outros robôs.
Woodward recomenda que as empresas forcem os usuários a configurarem senhas exclusivas na primeira ativação do produto, ao invés de usar credenciais padrão ou derivadas. Além disso, as equipes de desenvolvimento devem compreender completamente como o sistema pode ser invadido, e não focar apenas em um módulo específico.
Ele reforça que a segurança cibernética não é apenas uma parte do desenvolvimento de software, mas uma cultura de design de produto como um todo.
Consumidores também devem estar atentos
Além da responsabilidade das empresas, os consumidores devem avaliar cuidadosamente os riscos de privacidade associados aos dispositivos inteligentes.
Woodward afirma: «Se é possível fazer, não significa que deva ser feito.»
Embora os dispositivos domésticos inteligentes tornem a vida mais conveniente, quando eles possuem câmeras, microfones e capacidades de localização, seu uso indevido pode gerar consequências muito além do esperado.
Este artigo sobre engenheiro espanhol que «assumiu» 7 mil robôs DJI de limpeza e as vulnerabilidades de segurança em dispositivos domésticos inteligentes foi originalmente publicado na Chain News ABMedia.