Robô aspirador DJI Romo tinha segurança precária, permitindo acesso remoto a milhares de dispositivos

Um pesquisador de segurança descobriu que o robô aspirador Romo da DJI não possuía autenticação MQTT, permitindo que qualquer cliente se conectasse aos servidores da DJI e extraísse telemetria de aproximadamente 7.000 dispositivos em 24 países. Feeds de câmera ao vivo, acesso ao microfone, plantas baixas 2D e números de série estavam todos disponíveis. Em menos de 9 minutos, o pesquisador catalogou mais de 6.700 dispositivos e coletou mais de 100.000 mensagens MQTT, revelando layouts residenciais precisos e localizações aproximadas dos dispositivos via geolocalização por IP. A DJI teria corrigido a falha de acesso imediato. No entanto, o problema mais profundo persiste: o canal dispositivo-nuvem confia em qualquer sessão autenticada como um proprietário legítimo, caracterizando uma falha fundamental de autorização em IoT.