Naquele que pode ser considerado o “gol contra” mais espetacular da história recente da segurança de IoT, um engenheiro de software acabou ganhando, por puro acidente, acesso de “modo Deus” a cerca de 7.000 robôs aspiradores da DJI espalhados por 24 países. O pesquisador, Sammy Azdoufal, não estava tentando liderar uma revolta das máquinas; ele só queria pilotar seu novo e absurdamente caro aspirador DJI Romo usando um controle de PlayStation 5 — porque, convenhamos, por que não?
Para realizar esse sonho geek, Azdoufal utilizou um assistente de codificação por IA para ajudá-lo na engenharia reversa dos protocolos de comunicação do robô. Após extrair com sucesso o token de autenticação do seu próprio dispositivo, ele se conectou aos servidores da DJI. Mas, em vez de receber o sinal de seu pequeno lacaio solitário, um exército de aproximadamente 7.000 robôs “bateu continência”. A falha deu a ele acesso a transmissões ao vivo de câmeras e microfones, mapas 2D em tempo real das casas dos usuários e o status dos dispositivos de milhares de proprietários que não faziam a menor ideia do que estava acontecendo.
A raiz do problema foi um descuido de segurança comicamente simples, mas catastrófico. Os servidores de back-end da DJI autenticavam o token do usuário, mas aparentemente esqueciam de realizar o passo crucial seguinte: verificar se aquele usuário era, de fato, o dono do dispositivo específico que estava tentando acessar. Basicamente, qualquer chave válida abria qualquer porta do planeta. Azdoufal ressaltou que “não infringiu nenhuma regra, não burlou nada, não quebrou, não fez ataque de força bruta nem nada do tipo”, destacando que ele simplesmente atravessou uma porta digital que estava escancarada.
Por que isso é importante?
Este incidente é um caso de manual sobre os perigos da segurança em dispositivos IoT modernos, onde produtos com acesso íntimo aos nossos lares — equipados com câmeras e microfones — são, às vezes, protegidos pelo equivalente digital de um trinco de porta de jardim. Embora o potencial para uma violação de privacidade massiva e global fosse enorme, Azdoufal agiu de forma ética e relatou a vulnerabilidade.
É preciso dar crédito à DJI, que agiu com uma agilidade impressionante. Após ser notificada, a empresa teria corrigido a vulnerabilidade crítica com um patch no servidor em apenas dois dias, sem exigir qualquer ação por parte dos usuários. Embora restem dúvidas sobre como uma falha tão primária chegou à linha de produção, a resposta rápida evitou um desastre potencial e serve como uma lição para outros fabricantes de IoT: tranquem suas portas e, de preferência, confiram se as chaves não funcionam na vizinhança inteira.
