Seorang insinyur perangkat lunak menerima hadiah sebesar $30.000 setelah berhasil mengungkap kerentanan serius pada sistem backend cloud DJI. Kerentanan ini memengaruhi sekitar 7.000 unit robot vacuum cleaner milik DJI yang tersebar di 24 negara.
Awalnya, insinyur bernama Sammy Azdoufal ingin mengendalikan robot vacuum DJI Romo-nya menggunakan controller PS5. Untuk itu, ia mengembangkan aplikasi khusus yang memanfaatkan token keamanan perangkat untuk memastikan hanya pemilik yang bisa mengontrol robot tersebut.
Penemuan Kerentanan Sistem
Dalam proses tersebut, Azdoufal harus membongkar mekanisme otorisasi di server cloud DJI. Berkat teknik reverse engineering dan bantuan alat berbasis kecerdasan buatan, ia berhasil mengeksploitasi kelemahan yang membuka akses luas ke ribuan robot vacuum lainnya. Drone seri Romo ini tidak hanya memiliki sensor standar, tetapi juga dilengkapi kamera dan mikrofon.
Akibat kelemahan ini, Azdoufal mendapatkan akses ke siaran langsung kamera dan audio dari sekitar 7.000 robot vacuum. Ia bahkan mampu membuat peta lantai 2D dari rumah pengguna lain berdasarkan data yang diterima. Selain itu, ia memperoleh alamat IP perangkat, yang memberikan petunjuk lokasi geografis masing-masing robot.
Respons dan Tindakan DJI
DJI mengonfirmasi bahwa mereka sudah dalam proses memperbaiki beberapa celah keamanan di backend mereka sebelum Azdoufal mempublikasikan temuannya. Perusahaan kemudian mengirim email kepada Azdoufal yang menginformasikan pemberian hadiah $30.000, meski DJI tidak merinci aspek spesifik kerentanan yang dihargai.
Pembaruan perangkat lunak hasil perbaikan diterapkan otomatis pada awal Februari, termasuk update kedua yang memperkuat keamanan lebih lanjut. DJI juga menyatakan tidak membutuhkan tindakan tambahan dari pengguna dan sedang mengerjakan peningkatan sistem tanpa membocorkan detailnya.
Namun, perusahaan membantah sangkut paut langsung dengan Azdoufal, karena mereka mengklaim bahwa penemuan celah tersebut berasal dari pemeriksaan internal dan dua peneliti independen lain. Sejarah perselisihan DJI dengan peneliti keamanan pada 2017 menimbulkan ketidakpastian soal kecepatan dan kejelasan proses perbaikan.
Dampak dan Implikasi Keamanan
Kasus ini menyoroti risiko keamanan pada perangkat rumah pintar atau Internet of Things (IoT) yang terhubung ke cloud. Ketika sistem backend tidak membatasi akses dengan tepat, bisa terjadi penyalahgunaan yang mengancam privasi pengguna.
Robot vacuum DJI Romo yang memiliki kamera dan mikrofon harus diperlakukan dengan standar keamanan tinggi. Akses tak terkontrol berpotensi membocorkan kehidupan pribadi pengguna, sehingga produsen teknologi harus serius menangani potensi ancaman ini.
Ringkasan:
- Sammy Azdoufal menginginkan kontrol PS5 untuk robot vacuum DJI Romo.
- Dia menemukan celah otorisasi yang membuka akses ke 7.000 robot di 24 negara.
- Kerentanan memungkinkan akses kamera, mikrofon, peta lantai, dan alamat IP.
- DJI memberi hadiah $30.000, memperbaiki sistem backend dan mengeluarkan update otomatis.
- Perusahaan klaim temuan dari pemeriksaan internal, bukan hanya Azdoufal.
- Kejadian ini mempertegas pentingnya keamanan ketat di perangkat IoT rumah tangga.
Temuan ini menjadi peringatan bagi industri teknologi untuk memperketat pengamanan perangkat cerdas. Pengguna pun diingatkan agar selalu memperhatikan update keamanan dan tidak meremehkan potensi risiko privasi yang tersembunyi di balik perangkat rumah pintar.
