Seorang teknisi perangkat lunak, Sammy Azdoufal, secara tidak sengaja berhasil mendapatkan akses kontrol ke sekitar 7.000 unit robot pembersih DJI Romo yang tersebar di berbagai negara. Penemuan mengejutkan ini bermula dari eksperimen sederhana untuk mengendalikan robot vacuum miliknya menggunakan controller PlayStation 5 (PS5), sebuah insiden yang ia bagikan kepada media teknologi TheVerge.
Azdoufal memanfaatkan model kecerdasan buatan (AI) Claude Code untuk menganalisis lalu lintas komunikasi antara DJI Romo dan server pabrikan. Proses ini mengungkap security token perangkatnya, yang kemudian ia gunakan untuk membangun aplikasi pengontrol kustom. Namun, token tersebut ternyata tidak hanya memberikan akses ke satu unit, melainkan ke ribuan perangkat DJI Romo lainnya secara global.
Menguak Celah Keamanan: Dari Eksperimen PS5 ke Akses Global
Dalam eksperimennya, Azdoufal menemukan bahwa aplikasinya mampu mengumpulkan nomor seri dan data dari ribuan robot DJI Romo yang terhubung ke server global setiap tiga detik. Data yang dapat diakses sangat sensitif, meliputi rute pembersihan, status baterai, hambatan yang ditemui, denah 2D rumah hasil pemetaan sensor, hingga akses langsung ke kamera dan mikrofon perangkat, serta alamat IP masing-masing unit.
Dengan data-data ini, estimasi lokasi kasar perangkat menjadi sangat mungkin, menimbulkan kekhawatiran serius terkait privasi pengguna. Azdoufal menegaskan bahwa penemuan ini murni ketidaksengajaan dan bukan merupakan tindakan peretasan atau brute force, melainkan hasil dari eksplorasi terhadap sistem yang ada.
Respons DJI dan Implikasi Industri IoT
Setelah menyadari adanya kerentanan ini, Azdoufal dan TheVerge segera menghubungi pihak DJI. Dalam pernyataannya, DJI mengakui adanya “backend permission validation issue affecting MQTT-based communication between the device and the server“. Masalah ini berpotensi membuka akses tidak sah terhadap video langsung dari perangkat DJI Romo.
DJI merespons cepat dengan merilis pembaruan (patch) sistem dalam hitungan hari, yang diimplementasikan dari sisi server tanpa memerlukan tindakan dari pengguna. Meskipun demikian, Azdoufal mencatat bahwa masih ada beberapa kerentanan lain yang belum sepenuhnya tertangani, dan DJI berjanji akan menambal celah tersebut dalam beberapa pekan ke depan.
Ancaman Privasi dalam Ekosistem Smart Home
Kasus ini menyoroti isu krusial terkait penyimpanan data dan validasi akses di server perangkat IoT. Menurut Azdoufal, akar persoalan bukan pada enkripsi komunikasi perangkat, melainkan pada validasi izin akses di sisi backend server. Robot vacuum modern seperti DJI Romo dilengkapi dengan kamera, sensor pemetaan ruangan (LiDAR), koneksi cloud, dan mikrofon yang mengumpulkan data detail tentang lingkungan rumah.
Data-data sensor ini dapat menggambarkan tata letak rumah secara rinci, yang jika dieksploitasi oleh pihak tidak bertanggung jawab, dapat menyebabkan pelanggaran privasi yang parah. Insiden ini, sebagaimana dirangkum KompasTekno dari Toms Hardware, menjadi pengingat penting akan perlunya standar keamanan yang lebih ketat dalam pengembangan dan pengelolaan perangkat smart home serta ekosistem IoT secara keseluruhan.