Uma falha de segurança nos aspiradores “inteligentes” da DJI permitiu a um engenheiro de software assumir o controlo remoto de 7.000 dispositivos — que começaram a tratá-lo por “chefe”. A ameaça imediata parece ter sido resolvida, mas o caso levanta questões sérias. Se é que alguém quer saber…
É sempre importante ter cuidado com quem convidamos a entrar em nossa casa… seja uma pessoa desconhecida, ou um aspirador robô “inteligente”.
Recentemente, o engenheiro de software espanhol Sammy Azdoufal deu a conhecer ao The Verge que tinha conseguido assumir o controlo remoto de dispositivos DJI Romo em todo o mundo.
Segundo explicou Azdoufal, os aparelhos em causa, que, com preços entre os 1.300 e os 2.000 euros não são propriamente dos mais baratos no mercado, têm uma vulnerabilidade generalizada que permite ganhar acesso remoto às suas funções.
Azdoufal descobriu a falha quando tentava fazer engenharia reversa ao seu novo DJI Romo para conseguir controlá-lo com o comando da sua Playstation 5.
Segundo conta o engenheiro, quando a sua aplicação começou a comunicar com os servidores da DJI, “não foi apenas um aspirador que respondeu“. Na verdade, cerca de 7000 deles, espalhados por todo o mundo, deram sinal de vida — e começaram a tratar Azdoufal como seu chefe.
Azdoufal verificou que conseguia ver e ouvir através das câmaras em direto dos aspiradores e recolheu mais de 100.000 mensagens provenientes dos dispositivos. Conseguia ainda usar o endereço IP de qualquer robô para determinar a sua localização aproximada.
Azdoufal terá afirmado que não estava a tentar aceder indevidamente a outros dispositivos. De facto, contactou o The Verge precisamente para informar a publicação da existência da vulnerabilidade.
Numa publicação no X, a popular marca de drones e produtos de domótica agradeceu a Azdoufal ter comunicado a vulnerabilidade. “O seu feedback responsável é extremamente valioso para nós”, declarou a empresa, que adiantou que o problema tinha sido resolvido.
A informação de que a falha tinha sido colmatada foi inicialmente contestada por um utilizador, que entretanto confirmou que a DJI tinha “finalmente consertado a ENORME falha de vulnerabilidade” que havia nos seus servidores.
Azdoufal, responsável de Inteligência Artificial num grupo de gestão de imóveis e viagens em Espanha, não é o primeiro a descobrir falhas deste género em produtos inteligentes.
Outros episódios semelhantes ilustram que, para alguns fabricantes deste tipo de produtos, “a segurança é algo que fica um pouco para segundo plano“, afirmou Alan Woodward, professor de ciências da computação na Universidade de Surrey, em Inglaterra, ao The Guardian.
“Há a ideia de que é preciso avançar depressa, mesmo que isso implique partir coisas, e que é necessário inovar para estar no mercado, para ser o mais barato, para ter funcionalidades novas”, disse Woodward.
“Mas o problema é que esta é uma lição que foi aprendida muito cedo no desenvolvimento de software: se se proceder dessa forma, acabará inevitavelmente por haver vulnerabilidades de segurança“, nota Woodward.
Embora as pessoas adquiram estes dispositivos para simplificar as suas vidas, também os hackers têm paradoxalmente tido mais facilidade em invadir a privacidade das pessoas.
Para além dos aspiradores, os piratas informáticos conseguiram já controlar sistemas de iluminação, fechaduras inteligentes, câmaras de segurança, um monitor de bebés e um sistema de aquecimento, de acordo com um estudo publicado em 2025 no Journal of Information Security and Applications.
No caso dos aspiradores da marca chinesa, Azdoufal conseguiu assumir o controlo dos mesmos porque as credenciais do seu dispositivo lhe permitiram aceder aos restantes.
As empresas podem evitar este problema obrigando os consumidores a definir as suas próprias palavras-passe antes de utilizarem um produto pela primeira vez, diz Woodward.
Mas os consumidores devem igualmente ponderar se os potenciais benefícios de um dispositivo inteligente superam os riscos para a privacidade, defende Woodward. “Só porque se pode fazer algo não significa que se deva fazê-lo”.
Uma outra questão se coloca, porém: a falha que permitia a uma pessoa aceder aos robôs de outras (e respetivos dados pessoais) através dos servers da DJI foi resolvida. Mas isso não clarifica que algures na China, os técnicos da empresa têm acesso a “ver e ouvir através das câmaras” o que se passa em nossa casa?
E não é isso que se passa com as dúzias de aparelhos remotos, dispositivos inteligentes, aplicações e afins, de que já não prescindimos atualmente? E, no admirável mundo novo em que vivemos, ainda alguém se preocupa com isso?
(Armando Batista, ZAP)