DJI corrige falha que expunha dados de aspiradores Romo
TL;DR
A DJI solucionou uma vulnerabilidade que expunha dados de 7 mil usuários de aspiradores Romo. A falha permitia acesso não autorizado a informações sensíveis.
A DJI corrigiu uma falha que expunha dados de aspiradores robôs Romo, permitindo acesso não autorizado a informações sensíveis de 7 mil usuários em todo o mundo. A descoberta foi feita por Sammy Azdoufal, que conseguiu controlar aspiradores usando um controle de PlayStation 5.
A falha estava em uma "validação de permissões no backend", que permitia que qualquer cliente autenticado acessasse dados de todos os dispositivos conectados. Em um experimento de apenas nove minutos, Azdoufal catalogou 6.700 dispositivos em 24 países, coletando mais de 100 mil mensagens.
A DJI foi alertada e corrigiu o problema em menos de 24 horas, embora ainda existam vulnerabilidades, incluindo o acesso a feeds de vídeo sem necessidade de PIN de segurança. A empresa afirmou que a comunicação é criptografada via TLS, mas reconheceu a necessidade de duas atualizações para resolver completamente o problema.
A falha levantou preocupações sobre a segurança dos dados, já que, mesmo com a criptografia, usuários autenticados podiam acessar informações internas. A DJI prometeu uma nova correção em algumas semanas para resolver questões remanescentes.
O caso destaca a importância de revisões de segurança rigorosas, especialmente em dispositivos conectados à internet. A DJI continua a trabalhar em melhorias para proteger os dados de seus usuários.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
