Há alguns dias, quando um entusiasta do faça você mesmo tentou controlar seu robô de varredura DJI Romo com um controlador de jogo PS5, ele acidentalmente acionou uma séria vulnerabilidade de segurança. Como resultado, cerca de 6.700 robôs deste tipo em todo o mundo foram sujeitos a acesso não autorizado, permitindo-lhes visualizar imagens de câmaras em tempo real, obter plantas 2D de casas e até localizar locais de equipamentos.
Depois que o incidente foi exposto pelo The Verge, a DJI respondeu oficialmente, dizendo que havia concluído a correção da vulnerabilidade.
A vulnerabilidade foi descoberta por Sammy Azdoufal. Ele disse à mídia que sua intenção original era apenas usar o controlador PS5 para controlar o recém-adquirido DJI Romo, então ele usou o software Claude Code para fazer engenharia reversa do protocolo de comunicação entre o robô e o servidor DJI, e fez um controle remoto caseiro aplicativo.
Surpreendentemente, as permissões do aplicativo ficaram fora de controle após a conexão com o servidor. Ele apenas extraiu o token privado de seu próprio dispositivo e recebeu resposta de cerca de 7 mil unidades Romo em todo o mundo.
Um repórter do The Verge testemunhou a demonstração de vulnerabilidade ao vivo. Em 9 minutos, o computador de Azdufar gravou 6.700 dispositivos DJI em 24 países e coletou mais de 100.000 mensagens de dispositivos, abrangendo números de série de dispositivos, salas limpas, cenas vistas, distância percorrida, tempo de carregamento e obstáculos encontrados, etc.
Dois mapas do espaço vital de Thomas. O topo é o mapa não autenticado obtido do servidor DJI; a parte inferior é o mapa que o proprietário vê em seu celular.
Com apenas o número de série do dispositivo de 14 dígitos fornecido pelo meu colega Thomas Ricker, posso verificar com precisão o status do robô que limpa a sala de estar e os 80% restantes da bateria, e também obter a planta baixa precisa da casa do meu colega.
Além disso, ele conseguiu contornar o PIN de segurança de seu robô para visualizar imagens em tempo real e até compartilhou uma versão somente leitura do aplicativo com Gonzague Dambricourt, CTO de uma empresa francesa de consultoria de TI, que pôde visualizar remotamente as imagens da câmera de seu Romo sem emparelhar o dispositivo.
Azdufar enfatizou que não invadiu o servidor DJI. "Eu não violei nenhuma regra, não quebrei ou usei força bruta em nenhum sistema." Acontece que o token privado que ele extraiu para seu próprio dispositivo, que deveria ser a chave para verificar as permissões de acesso de seu próprio dispositivo, foi mal interpretado pelo servidor DJI como uma permissão geral, vazando assim dados em milhares de dispositivos em todo o mundo.
Ele revelou ainda que limparia todos os dados adquiridos toda vez que fechasse a ferramenta e não abusou de brechas para invadir a privacidade de outras pessoas.