Um simples projeto pessoal para ligar um comando de consola a um aspirador robótico acabou por revelar uma falha de segurança com alcance global. Um engenheiro conseguiu aceder, inadvertidamente, a mais de 6.700 dispositivos em 24 países, expondo câmaras, microfones e até plantas detalhadas de habitações privadas.
O caso, noticiado pelo The Verge, começou quando Sammy Azdoufal decidiu ligar o comando da sua PlayStation ao seu novo aspirador inteligente DJI Romo. Sem qualquer intenção maliciosa, o engenheiro desenvolveu uma aplicação móvel para permitir essa ligação e, para tal, teve de introduzir as credenciais da sua conta para aceder à nuvem do equipamento.
Acesso inesperado a milhares de contas
Foi nesse momento que surgiu a falha: ao introduzir o seu nome de utilizador e palavra-passe, a aplicação começou a fornecer-lhe dados de acesso relativos a milhares de outros dispositivos. Segundo o próprio, recebeu credenciais associadas a mais de 6.700 aspiradores inteligentes espalhados por 24 países.
Estes equipamentos não se limitam a aspirar o chão. Muitos incluem câmaras, microfones e sistemas de mapeamento que armazenam plantas das casas onde operam, além de outros dados sensíveis. Na prática, a vulnerabilidade permitia que Azdoufal tivesse acesso remoto a quase 7.000 habitações.
Apesar do potencial de abuso, o engenheiro denunciou de imediato a situação à empresa responsável, alertando para a falha de segurança. O próprio reconheceu que, nas mãos erradas, a vulnerabilidade poderia ter resultado em “graves incidentes”.
Conectados à nuvem, expostos ao risco
O episódio volta a colocar sob os holofotes os riscos associados aos dispositivos inteligentes ligados à internet e à chamada “nuvem”. Estar conectado à nuvem significa que os dados e aplicações não são apenas armazenados localmente, mas processados e guardados em servidores remotos, que podem estar situados noutros países. Assim, um dispositivo instalado em Espanha pode ter a sua informação armazenada, por exemplo, na Alemanha.
Esta arquitetura oferece inúmeras vantagens — acesso remoto, atualizações automáticas, maior capacidade de processamento —, mas também cria um ponto vulnerável: se a segurança dos servidores ou das aplicações falhar, o acesso indevido pode ocorrer à escala global.
Empresa garante correção da falha
A DJI informou ter corrigido a vulnerabilidade através de duas atualizações de software, publicadas sem necessidade de intervenção por parte dos clientes. Segundo a empresa, o problema ficou resolvido após esses patches de segurança.
Ainda que neste caso não tenham sido reportados danos, o incidente evidencia como a crescente presença de dispositivos inteligentes nas habitações — equipados com câmaras, microfones, localizadores ou GPS — pode representar uma porta de entrada para ataques informáticos.
Num contexto em que os cibercriminosos dispõem de ferramentas cada vez mais sofisticadas para explorar falhas e obter ganhos financeiros, o caso reforça a necessidade de maior exigência relativamente aos padrões de cibersegurança adotados pelas empresas. Ao mesmo tempo, sublinha a importância de os consumidores estarem conscientes dos riscos associados aos equipamentos que introduzem nas suas casas e da relevância de manterem sistemas e aplicações sempre atualizados.
