Resumo
- Sammy Azdoufal descobriu uma falha de segurança nos servidores do DJI Romo que permitiu controlar quase 7 mil robôs aspiradores em 24 países;
- DJI foi informada e liberou atualizações em fevereiro de 2026 para corrigir o problema, mas a falha persistiu temporariamente;
- Dados dos robôs eram armazenados em texto simples nos servidores da empresa.
Imagine passar pela experiência de “hackear” um dispositivo doméstico para executar uma função específica e acabar descobrindo uma falha de segurança em um produto usado por milhares de pessoas. É o que aconteceu com Sammy Azdoufal quando ele tentou controlar seu robô aspirador DJI Romo com um controle de PlayStation 5.
Azdoufal é um especialista em inteligência artificial e, como tal, usou o Claude Code para fazer engenharia reversa de um protocolo usado pelo robô aspirador na comunicação com os servidores da DJI.
Com base nisso, Azdoufal acabou criando um aplicativo de controle remoto. A ideia era a de fazer somente a sua unidade do DJI Romo responder aos comandos de seu joystick para PS5. Mas, para seu espanto, quando o app se conectou aos servidores da DJI, quase 7 mil robôs aspiradores responderam aos seus comandos.
Os robôs estavam distribuídos por pelo menos 24 países. Azdoufal podia, então, assistir às transmissões de vídeo em tempo real de todos eles. O áudio capturado pelos microfones dessas unidades também podia ser obtido, bem como os mapas 2D das casas por onde eles circulavam. Dava até para descobrir a localização aproximada de cada robô a partir de seu endereço IP.
Em resumo: Sammy Azdoufal acabou descobrindo um problema que comprometia a privacidade e a segurança de milhares de pessoas.
Era até possível capturar dados de uma unidade específica. Como exemplo, Azdoufal usou um número de série para localizar o DJI Romo de um jornalista do The Verge, veículo para o qual a falha foi reportada inicialmente. A ação mostrou que o robô tinha 80% de bateria na ocasião e resultou na obtenção do mapa da casa do jornalista.
Tudo indica que a falha foi realmente descoberta ao acaso, pois, ao extrair uma chave digital de seu robô, Azdoufal descobriu que, na verdade, essa informação permitia acesso não somente aos dados de sua unidade, como também aos de qualquer outro DJI Romo conectado aos servidores da companhia.
Ah, sim: é mesmo possível controlar um DJI Romo usando um controle de PS5:
Qual foi a reação da DJI?
É claro que a DJI foi informada do problema. A companhia tratou, então, de trabalhar em correções urgentes. A solução envolveu a liberação de atualizações, uma em 8 de fevereiro de 2026, outra no dia 10 do mesmo mês. Em todos os casos, as atualizações foram implementadas de modo automático, sem necessidade de interferência dos proprietários.
Mas a comunicação entre as partes não foi das mais harmoniosas. Na semana passada, a DJI liberou uma nota pública comunicando a resolução do problema, mas, horas depois, Azdoufal provou que o acesso aos dados dos robôs ainda não havia sido bloqueado. Somente no dia seguinte o problema foi, de fato, resolvido.
O detalhe que mais chamou a atenção, porém, foi o fato de Sammy Azdoufal ter descoberto que os dados dos robôs aspiradores eram armazenados em texto simples, podendo ser lidos facilmente por qualquer pessoa que tivesse acesso aos servidores da DJI.
A DJI também informou que continuará trabalhando em outras correções e ajustes, o que não surpreende: Azdoufal relatou que alguns problemas descobertos por ele continuam existindo.
O episódio reforça o alerta crescente de especialistas em segurança de que, não raramente, empresas especialistas em dispositivos inteligentes direcionam esforços para o desenvolvimento de funções em seus produtos, mas deixam o aspecto da segurança em segundo plano.
