O projeto começou como uma simples curiosidade. Sammy Azdoufal, um engenheiro de software, estava tentando transformar um controle de videogame em uma nova forma de controlar um robô doméstico. Para ele, era apenas um experimento técnico, mais um teste de suas habilidades, sem grandes ambições.
Ele desenvolveu um aplicativo próprio, utilizando um assistente de programação, e o resultado foi surpreendente.
Uma Falha Inesperada e um Acesso Incontrolável
Ao interagir com os servidores da fabricante do robô, Azdoufal descobriu uma falha de segurança inesperada. Essa falha lhe proporcionou acesso a dados de mais de 7 mil aspiradores robô espalhados por 24 países. O problema não se limitava a simplesmente ligar ou desligar os aparelhos.
Muitos desses robôs possuíam câmeras, microfones e até mesmo mapas detalhados das residências onde operavam.
Como a Vulnerabilidade Aconteceu
A falha estava na forma como os servidores verificavam a propriedade dos dispositivos. Ao tentar validar o controle do seu próprio robô, os servidores interpretaram Azdoufal como o proprietário de vários aparelhos simultaneamente, criando um “exército” de aspiradores sob seu controle.
A vulnerabilidade não exigia invasão física ou técnicas avançadas, já que os robôs dependiam de servidores remotos para funcionar.
Dados na Nuvem e o Potencial da Falha
Uma parte dos dados coletados, incluindo informações visuais, era armazenada na nuvem, e não apenas nos próprios robôs. Azdoufal conseguiu acessar as imagens das câmeras em tempo real e até mesmo compilar plantas baixas em 2D das casas onde os robôs estavam operando.
O robô em questão é o DJI Romo, um modelo inicialmente lançado na China e que está sendo expandido para outros mercados, custando cerca de US$ 1.899 (aproximadamente R$ 10 mil na cotação atual).
Um Alerta para o Futuro das Casas Inteligentes
Este incidente destaca fragilidades no ecossistema de dispositivos conectados à internet. Muitas casas inteligentes dependem de equipamentos conectados, operando em ambientes privados e armazenando dados sensíveis. Se comprometidos, esses dispositivos podem expor informações digitais e até mesmo aspectos da vida doméstica.
Azdoufal optou por reportar a vulnerabilidade à fabricante, que corrigiu a falha com atualizações.