- Um usuário acidentalmente obteve acesso a milhares de aspiradores DJI Romo em todo o mundo
- Dados confidenciais, incluindo plantas baixas e feeds de vídeo ao vivo, vazaram online
- A criptografia das comunicações estava intacta, mas o armazenamento do servidor estava completamente protegido
Um fã descobriu que seu DJI Romo vazio estava permitindo inadvertidamente o acesso a milhares de outros dispositivos.
Sammy Azdoufal, estrategista de IA, usou engenharia reversa para entender como Romo se comunicava com os servidores DJI. Ele não invadiu os sistemas DJI nem contornou a criptografia e não usou força bruta ou outros métodos ilegais.
Tentando controlar seu robô usando um controle de PlayStation, o protocolo devolveu tokens privados no vácuo para extras, incluindo mais de 6.700 dispositivos localizados em diversas regiões, incluindo Estados Unidos, Europa e China.
Descobertas e detalhes técnicos
O problema subjacente era que os dados do dispositivo eram armazenados em texto simples no servidor, o que permitia que qualquer pessoa que pudesse ler plantas baixas, transmissões de vídeo ao vivo e entrada de microfone tivesse acesso.
A criptografia para proteger as comunicações não era um bug, mas o data warehouse expunha informações confidenciais a qualquer pessoa com acesso.
Azdoufal relatou imediatamente a vulnerabilidade à DJI, e a empresa lançou atualizações para corrigir vários problemas sem exigir a intervenção do usuário.
Várias vulnerabilidades permanecem, incluindo a capacidade de reproduzir vídeos sem um PIN de segurança e outro problema de gravidade não revelado.
Esses problemas restantes indicam que o armazenamento de dados no servidor e o controle de acesso ainda precisam de atenção.
Infelizmente, este não é um caso isolado – um engenheiro descobriu anteriormente que seu aspirador inteligente iLife A11 enviava constantemente registros e telemetria ao fabricante.
Ao bloquear relatórios em sua rede, a empresa desativou remotamente o dispositivo.
Usando ajustes técnicos, ele restaurou a funcionalidade local, observando que a conectividade em nuvem não é absolutamente necessária para que o dispositivo funcione corretamente.
Muitos consumidores compram dispositivos inteligentes por conveniência, mas incidentes como este mostram os riscos potenciais quando utilizadores comuns podem aceder acidentalmente a dados privados.
Vídeos ao vivo, plantas baixas e outras informações podem ser expostas se os invasores explorarem vulnerabilidades semelhantes.
A utilização de software de firewall, a monitorização cuidadosa e a proteção dos terminais da atividade da rede podem reduzir a exposição, e a utilização mais ampla de ferramentas de IA também pode ajudar a identificar padrões incomuns, embora isso não garanta a deteção.
Os usuários devem estar cientes de que mesmo pequenas configurações incorretas ou falhas de design podem representar riscos significativos à privacidade.
O caso dos aspiradores DJI Romo indica que os dispositivos IoT podem priorizar a conveniência em vez da proteção robusta de dados; porque embora esta descoberta tenha sido relatada de forma acidental e responsável, o design subjacente deixa vulneráveis as informações pessoais confidenciais.
Isto levanta preocupações válidas, tanto sobre o acesso não intencional como sobre possíveis ataques direcionados futuros.
Através Ferragens do Tom
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
