Aspirador de pó espião? Homem assume controle acidental de milhares de equipamentos e expõe risco à privacidade

O plano parecia simples: transformar um controle de videogame em um novo jeito de comandar o robô doméstico que circulava pela casa. Para o engenheiro de software Sammy Azdoufal, aquilo era apenas um experimento técnico. Mais um daqueles testes feitos por curiosidade, sem grandes pretensões.

Para isso, ele começou a desenvolver um aplicativo próprio e usou um assistente de programação com inteligência artificial (IA).

Acontece que, ao interagir com os servidores da fabricante do produto, Azdoufal se deparou com uma falha inesperada, que lhe proporcionou, inadvertidamente, uma visão privilegiada da casa de milhares de outras pessoas.

O tamanho do problema

Não foram necessariamente os vizinhos de Azdoufal que ficaram vulneráveis. A brecha deu a ele acesso a mais de 7 mil aspiradores robô espalhados por 24 países. E não se tratava apenas de ligar ou desligar os dispositivos. Muitos desses aparelhos possuem câmeras, microfones e até mapeamento detalhado das residências.

Na prática, a falha de autenticação no sistema permitiu que ele:

• Acessasse dados visuais do ambiente doméstico;
• Interagisse com equipamentos de terceiros. 

Como isso foi possível

A vulnerabilidade estava na verificação de propriedade dos dispositivos. Ao tentar validar seu próprio robô, os servidores interpretaram Azdoufal como proprietário de vários aparelhos ao mesmo tempo — criando um verdadeiro “exército” de aspiradores sob o mesmo controle.

A brecha não exigia acesso físico nem técnicas avançadas de invasão (hacker), já que esses robôs dependem de servidores remotos para:

• Receber comandos;
• Atualizar mapas;
• Sincronizar com aplicativos.

Parte dos dados coletados — incluindo informações visuais — é armazenada na nuvem, e não apenas no aparelho.

O robô envolvido

O aspirador em questão é o DJI Romo, modelo lançado inicialmente na China e que vem sendo expandido para outros mercados.

Atualmente, o robô custa cerca de US$ 1.899, o que é equivalente a aproximadamente R$ 10 mil, na cotação atual.

De maneira geral, os usuários podem programá-lo para uso por meio de um aplicativo, mas ele foi projetado para operar de forma autônoma, utilizando sensores para:

• Mapear ambientes;
• Diferenciar cômodos;
• Evitar obstáculos.

Por isso, o deslize permitiu que Azdoufal acessasse as imagens das câmeras em tempo real e ativasse seus microfones. Ele também diz que conseguiu compilar plantas baixas em 2D das casas onde os robôs operavam.

Um alerta para a casa inteligente

O episódio vai além de um erro técnico isolado e expõe fragilidades no ecossistema de dispositivos conectados de maneira on-line.

Hoje em dia, as chamadas casas inteligentes dependem de equipamentos que estão quase sempre conectados à internet, operam em ambientes privados e armazenam dados sensíveis.

Se comprometidos, podem revelar não apenas informações digitais, mas aspectos físicos da vida doméstica — o que, nas mãos erradas, representa uma potencial mina de ouro.

Nesse caso dos aspiradores, o engenheiro optou por não explorar a vulnerabilidade e reportou o problema à fabricante, que afirmou ter corrigido a falha por meio de atualizações.