Engenheiros usam Claude para engenharia reversa do robot aspirador DJI Romo da DJI, e acidentalmente obtêm controlo sobre 7.000 dispositivos em todo o mundo e acesso à privacidade doméstica. Brinquedos de IA fabricados na China também têm sido associados a fugas de dados pessoais, levantando preocupações de segurança cibernética.
Preocupações de segurança do DJI Romo, o robot aspirador da DJI
Só queria controlar o robot aspirador com um comando de PlayStation 5, mas acabou por assumir o controlo de 7.000 robots em todo o mundo?
Em fevereiro deste ano, o engenheiro Sammy Azdoufal revelou ao site The Verge que inicialmente pretendia apenas experimentar controlar remotamente o novo robot aspirador DJI Romo da DJI usando um comando de PlayStation 5, e depois, através do assistente de programação AI Claude Code, realizar engenharia reversa do protocolo de comunicação entre o dispositivo e os servidores na nuvem da DJI.
Quando ele conectou a sua aplicação personalizada aos servidores, descobriu que não só podia controlar o seu próprio dispositivo, mas também tinha, por acaso, controlo sobre cerca de 7.000 robots aspiradores DJI em todo o mundo.
Azdoufal afirmou que podia controlar remotamente esses robots, assistir às suas câmeras em tempo real, ouvir o áudio capturado, e até mesmo observar os mapas de piso que eles desenhavam, contendo as formas e tamanhos exatos de cada divisão.
Testes da mídia confirmam a vulnerabilidade, com apenas o número de série a revelar detalhes privados da casa
Para verificar a vulnerabilidade do DJI Romo, o jornalista do The Verge pediu ao colega Thomas Ricker, que tinha acabado de testar o dispositivo, que fornecesse o número de série de 14 dígitos do robot aspirador. Azdoufal, apenas com esse número, conseguiu localizar o dispositivo no sistema e identificar que ele estava a limpar a sala de estar, com bateria a 80%.
Fonte: site oficial da DJI, fabricante do DJI Romo, que revelou a vulnerabilidade de segurança
Em poucos minutos, o robot, localizado em outro país, gerou e enviou um mapa preciso da casa. Azdoufal mostrou que conseguiu contornar a senha de segurança e abrir a transmissão ao vivo da câmera do seu próprio dispositivo.
Ele destacou que não invadiu os servidores da DJI, apenas extraiu as credenciais privadas do dispositivo, e que os servidores enviaram-lhe os dados de milhares de outros utilizadores, todos em texto claro.
DJI admite problema de validação de permissões, afirma que já foi resolvido
A DJI, fabricante chinesa de drones e tecnologia, detém uma quota de mercado de 70% a 83% em drones civis e comerciais, incluindo câmeras e robots aspiradores.
Fonte: site oficial da DJI, fabricante chinesa de drones e tecnologia
Após a divulgação do incidente de segurança, a porta-voz da DJI, Daisy Kong, emitiu uma declaração admitindo que a vulnerabilidade envolvia problemas de validação de permissões na comunicação entre o dispositivo e os servidores. A empresa descobriu a falha no final de janeiro e, em duas atualizações em fevereiro, implementou correções.
A DJI enfatizou que, em teoria, essa vulnerabilidade poderia permitir que terceiros acedessem as imagens em tempo real dos robots sem autorização, mas que tais casos são extremamente raros, ocorrendo quase exclusivamente durante testes de segurança por investigadores, e que toda a comunicação é criptografada usando TLS.
No entanto, o investigador de segurança Kevin Finisterre alertou que, mesmo com a criptografia na transmissão, se os servidores não tiverem controles de acesso adequados, funcionários internos ou clientes autenticados ainda podem facilmente aceder aos dados.
Preocupações de segurança de brinquedos de IA fabricados na China também aumentam
Além dos robots aspiradores da DJI, recentes reportagens revelaram preocupações de segurança e educação relacionadas com brinquedos de IA produzidos na China.
De acordo com a revista Wired, no final de janeiro, os investigadores de segurança Joseph Thacker e Joel Margolis descobriram que o backend da empresa chinesa de brinquedos de IA Bondu carecia de proteção adequada, levando à fuga de mais de 50.000 registos de dados pessoais de crianças e conversas.
A NBC News também reportou que o brinquedo de peluche Miiloo, fabricado pela empresa chinesa Miriat, promove a introdução de posições políticas específicas às crianças, como a afirmação de que “Taiwan é parte da China”.
Organizações de defesa do interesse público nos EUA alertaram que brinquedos de IA carecem de mecanismos eficazes de filtragem de conteúdo, levando a uma carta do Comitê Especial de Questões do Partido Comunista Chinês na Câmara dos Representantes, que advertiu sobre riscos de privacidade de dados e segurança nacional associados a esses dispositivos.
Para mais detalhes:
Ainda compra brinquedos de IA? Bondu expõe 50.000 registos de dados de crianças, enquanto Miiloo promove a ideia de que Taiwan faz parte da China
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
