DJI, yang dikenal sebagai spesialis drone dan kamera, baru-baru ini menghadirkan produk baru di pasar robot vacuum dengan nama DJI RoboVac. Namun, produk pertama mereka ini menghadapi masalah keamanan serius. Sebuah modifikasi pada kontroler PS5 berhasil memunculkan kerentanan yang mengekspos sekitar 7.000 kamera robot vacuum secara bersamaan melalui server DJI.
Masalah ini pertama kali ditemukan oleh seorang modder bernama Sammy Azdoufal. Ia mencoba mengendalikan RoboVac miliknya dengan PS5 controller yang telah dimodifikasi dan membuat aplikasi khusus untuk tujuan tersebut. Tanpa sengaja, ia mendapatkan akses tidak sah ke kamera dan mikrofon ribuan RoboVac di seluruh dunia hanya dengan membaca token otorisasi robot yang dia miliki sendiri.
Kerentanan Keamanan DJI RoboVac
Menurut laporan dari The Verge, modder tersebut tidak perlu meretas server DJI secara ilegal. Cukup dengan mengambil token otorisasi perangkat miliknya, ia bisa mengakses aktivitas, peta lantai rumah, hingga waktu pengisian daya ribuan robot lain. Hal ini menimbulkan kekhawatiran serius terkait privasi pengguna dan keamanan data sensitif yang seharusnya terlindungi.
Berikut ini aspek penting dari kerentanan yang ditemukan:
- Modifikator menggunakan PS5 controller untuk mengendalikan RoboVac.
- Akses tidak sah diperoleh dengan membaca token otorisasi dari robot yang dimiliki.
- Sekitar 7.000 kamera dan mikrofon RoboVac dapat diakses sekaligus.
- Data aktivitas dan peta rumah pengguna bocor melalui koneksi server DJI.
Respons DJI dan Penanganan Masalah
Setelah menerima laporan dari modder dan The Verge, DJI langsung merespons dalam waktu singkat. Pada tanggal 11 Februari, mereka mengeluarkan patch keamanan yang menutup celah tersebut. Sebelumnya, mereka sudah mengeluarkan pernyataan bahwa masalah ini telah dideteksi dan ditangani dengan pembaruan pada bulan Januari, tetapi kejadian baru ini menunjukkan bahwa perbaikan sebelumnya kurang komprehensif.
DJI kini memastikan bahwa kerentanan ini telah diperbaiki dan pengguna RoboVac tidak perlu khawatir lagi terhadap eksploitasi tersebut. Meski demikian, munculnya masalah ini mengingatkan kembali risiko keamanan yang melekat pada perangkat rumah pintar yang selalu terhubung ke internet dan server eksternal.
Risiko Keamanan pada Robot Vacuum Pintar
Kasus DJI RoboVac sebenarnya bukan satu-satunya yang terdampak masalah serupa. Perangkat robot vacuum merek lain seperti Ecovacs dan Dreame telah mengalami masalah keamanan yang memungkinkan peretas mengontrol speaker atau mengakses fungsi perangkat tanpa izin. Koneksi kamera dan mikrofon yang terus aktif merupakan potensi pintu masuk bagi pelaku kejahatan siber.
Secara umum, berikut ini hal-hal yang harus diperhatikan oleh pengguna robot vacuum dengan konektivitas tinggi:
- Selalu update firmware dan software untuk patch keamanan terbaru.
- Batasi akses perangkat pada jaringan rumah dengan pengaturan keamanan yang ketat.
- Hati-hati dalam menghubungkan perangkat ke layanan server eksternal.
- Gunakan fitur keamanan tambahan seperti otentikasi dua faktor bila tersedia.
Sebagai debut DJI di ranah robot vacuum, insiden ini menimbulkan tanya mengenai kesiapan perusahaan dalam mengamankan produk baru yang menggabungkan teknologi IoT dan kamera. Meskipun sudah diperbaiki, peristiwa ini menjadi pelajaran penting bagi semua produsen agar selalu mengutamakan aspek keamanan dalam merancang perangkat rumah pintar.
Pengguna DJI RoboVac maupun perangkat serupa disarankan tetap waspada dan rutin melakukan pembaruan sistem agar risiko serangan dapat diminimalisasi. Keamanan perangkat berbasis IoT bukan hanya tanggung jawab produsen, tetapi juga pengguna untuk menerapkan praktik keamanan terbaik di lingkungan rumah mereka.
