Falha grave de segurança – Uma tentativa aparentemente simples de personalização tecnológica acabou revelando uma vulnerabilidade de grandes proporções. O especialista em inteligência artificial Sammy Azdoufal descobriu, por acaso, uma falha de segurança no robô aspirador DJI Romo ao tentar controlá-lo com um joystick de PlayStation 5.
A experiência começou como um experimento pessoal. Azdoufal utilizou o Claude Code para realizar engenharia reversa de um protocolo usado pelo robô na comunicação com os servidores da DJI. A partir disso, criou um aplicativo de controle remoto com o objetivo de fazer apenas sua unidade responder aos comandos do controle.
LEIA: Brasil terá nuvem isolada da AWS em ambiente soberano
O resultado, porém, foi inesperado. Quando o aplicativo se conectou aos servidores da empresa, quase 7 mil robôs aspiradores passaram a responder aos comandos enviados. As unidades estavam distribuídas por pelo menos 24 países.
Com o acesso, Azdoufal conseguia assistir às transmissões de vídeo em tempo real captadas pelas câmeras dos dispositivos. Também era possível obter o áudio registrado pelos microfones, visualizar os mapas 2D das residências por onde os robôs circulavam e até identificar a localização aproximada de cada aparelho a partir do endereço IP.
A vulnerabilidade ainda permitia consultar dados de uma unidade específica. Como exemplo, Azdoufal utilizou um número de série para localizar o DJI Romo de um jornalista do The Verge, veículo ao qual a falha foi reportada inicialmente. A ação mostrou que o robô estava com 80% de bateria naquele momento e possibilitou a obtenção do mapa da casa do jornalista.
Tudo indica que a descoberta ocorreu de forma acidental. Ao extrair uma chave digital de seu próprio robô, Azdoufal percebeu que a informação não dava acesso apenas aos dados de sua unidade, mas também aos de qualquer outro DJI Romo conectado aos servidores da companhia.
Reação da empresa
A DJI foi informada sobre o problema e iniciou correções urgentes. A solução envolveu a liberação de atualizações automáticas em 8 de fevereiro de 2026 e outra no dia 10 do mesmo mês, ambas implementadas sem necessidade de ação por parte dos proprietários.
A comunicação entre as partes, no entanto, não foi totalmente tranquila. Na semana passada, a DJI divulgou uma nota pública afirmando que a falha havia sido resolvida. Horas depois, Azdoufal demonstrou que o acesso aos dados ainda não estava completamente bloqueado. Somente no dia seguinte o problema foi efetivamente solucionado.
Um dos pontos que mais chamaram atenção foi o fato de os dados dos robôs aspiradores estarem armazenados em texto simples, podendo ser lidos facilmente por qualquer pessoa que tivesse acesso aos servidores da empresa.
A DJI informou ainda que continuará trabalhando em novas correções e ajustes. Segundo Azdoufal, alguns dos problemas identificados por ele ainda permanecem.
O episódio reforça o alerta crescente de especialistas em segurança digital: com frequência, empresas focadas em dispositivos inteligentes priorizam o desenvolvimento de funcionalidades inovadoras, mas deixam a proteção de dados e a segurança em segundo plano.
(Com informações de Tecnoblog)
(Foto: Reprodução/Freepik/nmarnaya)
