Seorang teknisi perangkat lunak, Sammy Azdoufal, secara tidak sengaja berhasil mendapatkan akses kontrol terhadap sekitar 7.000 unit robot pembersih DJI Romo yang tersebar di berbagai negara. Penemuan mengejutkan ini berawal dari eksperimen sederhana untuk mengendalikan robot vacuum miliknya menggunakan controller PlayStation 5 (PS5), sebagaimana dilaporkan oleh The Verge.
Insiden ini menyoroti kerentanan serius dalam sistem validasi izin backend perangkat IoT, yang berpotensi membuka pintu bagi pelanggaran privasi data pengguna secara masif.
Kronologi Penemuan Kerentanan Sistem DJI Romo
Azdoufal memulai proyeknya dengan tujuan membuat DJI Romo miliknya dapat dikendalikan secara fleksibel melalui controller PS5. Ia memanfaatkan model kecerdasan buatan (AI) Claude Code untuk menganalisis lalu lintas komunikasi berbasis MQTT antara perangkat DJI Romo dan server pabrikan. Dari analisis tersebut, ia berhasil memperoleh security token yang seharusnya hanya memberikan akses ke perangkatnya sendiri.
Namun, saat Azdoufal membangun aplikasi untuk mengirim perintah ke robot vacuum menggunakan token tersebut, ia menemukan bahwa token tersebut tidak hanya memberikan akses ke satu unit, melainkan ke sekitar 7.000 perangkat DJI Romo lain yang terhubung ke server global. Aplikasinya mampu mengumpulkan nomor seri dan data dari ribuan robot ini setiap tiga detik.
Data-data sensitif yang dapat diakses meliputi rute pembersihan, status baterai, hambatan yang ditemui, denah 2D rumah hasil pemetaan sensor LiDAR, hingga akses langsung ke kamera dan mikrofon perangkat, serta alamat IP masing-masing. Azdoufal menegaskan bahwa penemuan ini murni ketidaksengajaan dan bukan hasil dari upaya peretasan atau brute force.
Respons Cepat DJI dan Akar Masalah Validasi Izin
Setelah menyadari adanya celah akses ini, Azdoufal dan The Verge segera menghubungi pihak DJI untuk melaporkan temuan tersebut. Dalam pernyataannya, DJI mengakui adanya masalah “backend permission validation issue affecting MQTT-based communication between the device and the server”. Masalah ini berpotensi membuka akses tidak sah terhadap video langsung dari perangkat DJI Romo.
Sebagai respons, DJI segera merilis pembaruan (patch) sistem dalam hitungan hari untuk menutup celah tersebut. Pembaruan dilakukan dari sisi server, sehingga tidak memerlukan tindakan dari pengguna. Meskipun demikian, Azdoufal menyebut bahwa masih ada beberapa kerentanan lain yang belum sepenuhnya ditangani, dan DJI berjanji akan menambal sisa celah tersebut dalam beberapa pekan ke depan.
Akar persoalan, menurut Azdoufal, bukan terletak pada enkripsi komunikasi perangkat, melainkan pada validasi izin akses di backend server. Robot vacuum modern seperti DJI Romo dilengkapi dengan kamera, sensor pemetaan ruangan (LiDAR), koneksi cloud, dan mikrofon yang mengumpulkan data detail terkait operasi perangkat dan tata letak rumah.
Implikasi Keamanan IoT dan Privasi Pengguna
Kasus ini memunculkan pertanyaan krusial mengenai penyimpanan data dan akses di server perangkat IoT. Jika celah keamanan seperti ini dieksploitasi oleh pihak yang tidak bertanggung jawab, risiko pelanggaran privasi bisa sangat tinggi. Data seperti denah rumah, rekaman visual, dan audio dapat disalahgunakan untuk tujuan yang merugikan.
Insiden DJI Romo ini menjadi pengingat penting bagi seluruh industri teknologi tentang perlunya pengujian keamanan yang lebih ketat dan validasi izin yang robust pada sistem backend perangkat IoT. Keamanan siber bukan hanya tentang enkripsi data, tetapi juga tentang bagaimana izin akses dikelola dan divalidasi di seluruh rantai komunikasi antara perangkat dan server.