O que começou como uma tentativa de tornar a limpeza doméstica mais divertida terminou em uma das maiores exposições de vulnerabilidade de dispositivos domésticos dos últimos tempos. Sammy Azdoufal, líder de estratégia de IA em uma empresa de aluguel de temporada, não pretendia se tornar um invasor cibernético. Ele queria apenas controlar seu novo aspirador de pó, um DJI Romo, utilizando um controle de PlayStation 5.
No entanto, ao desenvolver seu próprio aplicativo de controle remoto e realizar engenharia reversa nos protocolos da DJI, com o auxílio da ferramenta Claude Code, Azdoufal descobriu inúmeros dispositivos desprotegidos.
O “Chefe” Acidental de 7 Mil Robôs
Ao conectar seu aplicativo aos servidores da DJI, Azdoufal percebeu que não estava recebendo dados apenas do seu aparelho. Cerca de 7.000 aspiradores em 24 países passaram a responder aos seus comandos. Em uma demonstração ao vivo para o portal The Verge, ele mostrou a magnitude do acesso: em apenas nove minutos, seu laptop catalogou milhares de dispositivos. O nível de exposição era alarmante. Com apenas o número de série de um aparelho, Azdoufal conseguia:
- Acessar transmissões de vídeo e áudio ao vivo (ignorando o PIN de segurança).
- Visualizar plantas baixas em 2D detalhadas das casas dos usuários.
- Identificar a localização aproximada através do endereço IP.
- Monitorar o status em tempo real (bateria, cômodo atual e obstáculos).
Diferente de um ataque hacker convencional, Azdoufal afirma que não precisou invadir servidores. A falha residia na validação de permissões da DJI. Ao extrair o token privado do seu próprio robô, a chave digital que deveria dar acesso apenas aos seus dados, os servidores da empresa permitiram que ele visualizasse os dados de qualquer outro usuário conectado ao sistema. Os dados que deveriam aparecer criptografados forame exibido em texto simples
A Resposta da Empresa
Em comunicado oficial, a DJI admitiu a existência de um “problema de validação de permissões”, embora tenha minimizado a gravidade da situação ao classificar a vulnerabilidade como um “potencial teórico” e alegar que acessos não autorizados foram “extremamente raros”.
No entanto, a cronologia dos fatos revela uma comunicação desencontrada por parte da fabricante. Embora a empresa afirme ter identificado o problema internamente ainda em janeiro e implementado atualizações de segurança nos dias 8 e 10 de fevereiro, a eficácia real dessas medidas foi posta em xeque. Na manhã de terça-feira, a DJI chegou a enviar uma nota à imprensa garantindo que o erro estava resolvido, mas poucas horas depois, durante uma demonstração ao vivo, Azdoufal provou que o acesso a milhares de robôs continuava ativo. O bloqueio definitivo só ocorreu na quarta-feira, quando a companhia finalmente realizou um reinício do serviço após ser confrontada com a evidência de que a falha persistia.
Reflexões sobre Privacidade
O incidente reacende o debate sobre a segurança de dispositivos e a necessidade de componentes como microfones em eletrodomésticos. “É muito estranho ter um microfone num aspirador de pó”, pontuou Azdoufal.
Embora o acesso em massa tenha sido interrompido, Azdoufal alerta que outras vulnerabilidades menores ainda persistem, como a visualização de vídeos sem PIN. Até o momento, a DJI garante que os dados dos usuários estão seguros e que não há evidências de vazamentos para agentes maliciosos além dos pesquisadores independentes.
O post O homem que hackeou 7 mil aspiradores de pó – sem querer apareceu primeiro em Olhar Digital.