Imagine ligar o robô que limpa sua casa e, sem saber, transmitir em tempo real imagens, áudio e o mapa completo do seu apartamento para estranhos. Foi exatamente esse cenário que a DJI precisou conter depois de corrigir, em fevereiro de 2026, uma vulnerabilidade crítica no aspirador inteligente DJI ROMO. A falha permitia o acesso não autorizado a cerca de 7 mil dispositivos espalhados por 24 países.
O que aconteceu?
O engenheiro de software Sammy Azdoufal descobriu o problema enquanto tentava conectar seu ROMO a um controle de PlayStation 5. Durante a engenharia reversa do protocolo de comunicação com a nuvem da DJI, ele percebeu que o token de autenticação do seu próprio robô dava porteira aberta para qualquer outro ROMO cadastrado nos servidores.
Em poucos minutos, mais de 6.700 aspiradores foram identificados em um scan automatizado, enviando dados sensíveis a cada três segundos: feed de câmera, áudio de microfones, planta baixa da residência, localização aproximada via IP e informações detalhadas de limpeza.
Como a falha funcionava?
Bastava digitar o número de série de 14 dígitos de qualquer ROMO para invadir o dispositivo. Não era necessário hacking avançado, força bruta ou exploração de brechas no firmware: o problema estava na validação de permissões no backend da DJI.
- Feed de vídeo ao vivo: transmissão em tempo real sem exigir PIN;
- Áudio ambiente: escuta ativa 24/7;
- Planta baixa 2D: mapeamento automático de cômodos;
- Dados de operação: níveis de bateria, obstáculos e horários de limpeza;
- Localização aproximada: obtida pelo endereço IP.
Resposta da DJI
A DJI afirma ter identificado internamente o problema em janeiro de 2026. Dois patches foram aplicados automaticamente aos servidores:
- 8 de fevereiro: correção inicial, mas não replicada em todos os nós;
- 10 de fevereiro: atualização final, encerrando a vulnerabilidade.
Como reconhecimento, a empresa pagou US$ 30 mil a Azdoufal pelo programa de bug bounty, ativo desde 2016 e que já recompensou mais de 300 pesquisadores.
Por que isso importa para você?
Robôs aspiradores se tornaram tão comuns quanto smart TVs, mas muitas vezes ficam esquecidos quando o assunto é segurança. Se você mantém um assistente de limpeza automático em casa, ele tem câmeras, microfones e mapas detalhados da sua residência—dados valiosos para invasores.
Imagem: Internet
Como escolher um robô aspirador mais seguro
Antes de investir em um modelo novo, avalie três pontos:
- Atualizações de firmware frequentes: marcas como iRobot (Roomba j7+) e Ecovacs (Deebot T30) divulgam changelogs mensais.
- Armazenamento local cifrado: modelos como o Xiaomi Robot Vacuum S10+ oferecem criptografia de ponta a ponta para mapas domésticos.
- Compatibilidade com certificações IoT: o próprio DJI ROMO exibe selos ETSI EN 303 645, EU RED e UL Diamond, mas o caso mostra que selo não dispensa correções rápidas.
Deseja uma alternativa nacional e com foco em privacidade? O WAP Robô W400 (controle remoto incluso, sem câmera) é simples, mas elimina o risco de vazamento de vídeo—e ainda conta com peças de reposição fáceis de encontrar no Brasil.
O impacto para o mercado de casa inteligente
O episódio serve de alerta para todo o ecossistema IoT. Com Wi-Fi 7 e integração a assistentes como Alexa e Google Home, aspiradores atuais coletam mais dados do que nunca. Incidentes como este pressionam fabricantes a investir em zero-trust, autenticação multifator e patches OTA (over-the-air) que alcancem 100% da base instalada rapidamente.
No fim das contas, o usuário ganha duas vezes: dispositivos mais protegidos e um ciclo de inovações que prioriza a privacidade. Se você está de olho em um novo robô para automatizar a faxina, fique atento aos updates de segurança tanto quanto à potência de sucção.
Com informações de Mundo Conectado
