A promessa da casa inteligente sempre foi conveniência. Robôs que limpam sozinhos, câmeras integradas, mapas digitais da residência e controle remoto pelo celular. Mas um experimento curioso mostrou o outro lado dessa tecnologia. Um especialista em IA tentou adaptar seu aspirador para funcionar com um controle de videogame — e acabou descobrindo uma vulnerabilidade que expôs milhares de lares ao redor do mundo.
O experimento que saiu do controle
Sammy Azdoufal não tinha intenção de invadir sistemas. Líder de estratégia em inteligência artificial em uma empresa de aluguel de temporada, ele queria apenas tornar a limpeza doméstica mais divertida. Seu plano era simples: controlar um aspirador DJI Romo com um controle de PlayStation 5.
Para isso, desenvolveu um aplicativo próprio e realizou engenharia reversa nos protocolos da fabricante, utilizando ferramentas de programação assistida. Ao conectar seu app aos servidores da empresa, percebeu que algo estava errado.
Em vez de acessar apenas seu dispositivo, começou a receber respostas de milhares de outros robôs conectados à mesma infraestrutura.
Em poucos minutos, seu laptop identificou cerca de 7 mil aspiradores ativos em 24 países diferentes. O que parecia um erro pontual revelou uma falha sistêmica.
Com apenas o número de série de um aparelho — informação relativamente fácil de obter — era possível acessar transmissões ao vivo de vídeo e áudio, ignorar o PIN de segurança, visualizar mapas 2D detalhados das casas dos usuários, identificar localização aproximada via IP e acompanhar o status em tempo real do robô.
O mais preocupante: não foi necessário “hackear” servidores no sentido tradicional. O problema estava na validação de permissões da própria plataforma.
Ao extrair o token privado do seu robô — uma chave digital que deveria liberar acesso apenas aos seus dados — os servidores permitiram que ele navegasse por informações de outros usuários. Dados que deveriam estar criptografados apareciam em texto simples.
A reação da fabricante e as contradições
Em comunicado oficial, a DJI reconheceu um “problema de validação de permissões”, mas descreveu a vulnerabilidade como um “potencial teórico” e afirmou que acessos indevidos eram extremamente raros.
A cronologia, no entanto, levantou dúvidas. A empresa declarou ter identificado o problema internamente em janeiro e aplicado atualizações de segurança nos dias 8 e 10 de fevereiro.
Mesmo assim, durante uma demonstração ao vivo ao portal The Verge, Azdoufal conseguiu provar que o acesso indevido continuava ativo horas depois de a empresa afirmar que a falha havia sido corrigida.
O bloqueio definitivo só ocorreu após nova pressão pública, quando a companhia reiniciou o serviço para interromper o acesso generalizado.
A divergência entre comunicação oficial e evidências técnicas reacendeu debates sobre transparência corporativa em incidentes de segurança digital.
Quando eletrodomésticos viram portas de entrada
O caso vai além de um erro técnico. Ele expõe uma questão cada vez mais relevante: o quanto dispositivos domésticos conectados realmente estão protegidos?
Aspiradores inteligentes não apenas limpam a casa. Eles mapeiam ambientes, armazenam plantas detalhadas, capturam imagens e, em alguns modelos, possuem microfones ativos.
Segundo o próprio Azdoufal, a presença de áudio em um eletrodoméstico levanta questionamentos: é mesmo necessário que um aspirador tenha microfone?
Embora a DJI afirme que não há evidências de vazamentos para criminosos além de pesquisadores independentes, o episódio mostra como pequenas falhas podem escalar rapidamente quando conectadas à internet.
Mesmo após o bloqueio em massa, o especialista alertou que vulnerabilidades menores ainda podem existir, como visualização de vídeo sem exigência adequada de PIN.
O incidente reforça um alerta recorrente entre especialistas em cibersegurança: à medida que casas se tornam mais inteligentes, também se tornam mais expostas.
E às vezes, tudo começa com uma simples tentativa de usar um controle de videogame para guiar um robô pela sala.
[Fonte: Olhar digital]
