Falha em robôs aspiradores permite acesso remoto

07/04/2026 mindsecblog Notícias 0

Falha em robôs aspiradores permite acesso remoto a milhares de casas e acende alerta de cibersegurança

Caso envolvendo dispositivos conectados expõe riscos estruturais da IoT e impacto potencial sobre redes e segurança digital

O engenheiro de software Sammy Azdoufal acessou acidentalmente cerca de 7 mil robôs aspiradores em 24 países ao tentar conectar seu próprio dispositivo a um controle remoto, por meio de ferramentas desenvolvidas por ele. Ao fazer isso, ele encontrou uma falha de autenticação nos sistemas dos aspiradores DJI, que permitiu acesso remoto a câmeras, microfones e mapas internos de residências. O caso ocorreu em fevereiro e foi revelado pelo site The Verge, especializado em tecnologia. Para a Huge Networks, empresa de segurança digital, o episódio evidencia riscos estruturais, porém evitáveis, no uso de dispositivos conectados à internet.

Embora não haja dados públicos consolidados sobre o volume de vendas no Brasil, o mercado de robôs aspiradores segue em expansão, impulsionado pela popularização da casa conectada e pelo avanço do comércio eletrônico. Com a adoção crescente de dispositivos inteligentes — como câmeras, assistentes de voz e eletrodomésticos conectados —, a superfície de ataque digital é ampliada, muitas vezes fora do alcance das soluções tradicionais de segurança. O avanço do trabalho remoto intensifica esse cenário, ao transformar redes domésticas em extensão do ambiente corporativo, trazendo risco para empresas e pessoas.

Matheus Castanho, Tech Lead da Huge Networks, afirma que o episódio ilustra um problema recorrente em dispositivos conectados. “Quando as tecnologias estão comprometidas e são conectadas dentro de residências ou escritórios, podem ser usados como porta de entrada para ataques a empresas conectadas na mesma rede ou até como parte de uma botnet usada para derrubar sites e sistemas privados”. 

Embora o caso envolva robôs aspiradores, o risco se estende a qualquer dispositivo IoT que dependa de autenticação em nuvem e coleta contínua de dados. “A verdade é que, infelizmente, qualquer dispositivo conectado diretamente à Internet pode ser usado de forma maliciosa, especialmente quando boas práticas de segurança não são adotadas”, diz Castanho. “Até mesmo aplicativos nos nossos próprios celulares podem ser utilizados nesse tipo de cenário.”

 

O caso dos robôs aspiradores

Segundo o The Verge, Azdoufal utilizou ferramentas de desenvolvimento assistidas por inteligência artificial para entender como o aplicativo oficial do robô se comunicava com os servidores da empresa. Ao obter um token de autenticação válido, ele percebeu que o sistema não restringia o acesso a um único dispositivo. Na prática, as mesmas credenciais permitiam visualizar dados de milhares de robôs conectados, incluindo feeds de vídeo em tempo real, áudio ambiente, plantas das casas e informações de status dos equipamentos, além de localização aproximada dos aparelhos relacionados.

O engenheiro afirma que não explorou a falha. Após identificar o problema, compartilhou as informações com a imprensa, que checou e divulgou a informação, além de ter acionado o fabricante. Em resposta, a DJI informou que a vulnerabilidade foi identificada internamente no fim de janeiro e corrigida por meio de atualizações liberadas em fevereiro, sem necessidade de ação por parte dos usuários. A empresa também declarou que continua implementando melhorias de segurança, embora não tenha detalhado as medidas adotadas.

“Esse tipo de falha expõe um risco relevante: o acesso foi descoberto por acaso e não foi explorado. Em outro cenário, poderia ser utilizado para monitoramento indevido ou até como base para ataques em escala”, alerta o Tech Lead da Huge Networks. 

Dispositivos IoT comprometidos podem ser utilizados em ataques de negação de serviço distribuído (DDoS), inclusive com impacto sobre operações digitais e prejuízos financeiros relevantes. Entre os principais fatores de risco estão o uso de senhas padrão, ausência de atualizações e exposição indevida de serviços na internet. A mitigação envolve segmentação de rede, monitoramento contínuo e escolha de dispositivos com suporte ativo, além da conscientização de que a segurança digital hoje começa dentro de casa.

O perigo não é novo

As falhas em Robôs aspiradores não é nova,  em 2022 noticiamos que um Aspirador robô fotografou uma mulher no banheiro, na ocasiao o MIT Technology Review teve acesso a 15 imagens que circularam em fóruns e redes sociais na Venezuela. O aspirador robô Roomba J7 da iRobot capturou imagens de uma mulher no vaso sanitário e as fotos acabaram na internet. De acordo com a empresa, o caso aconteceu em 2020 e só foi possível graças a uma versão do robô aspirador com modificações de software, que não estão presentes nos produtos para consumidores. As imagens, na sua maioria mundanas, incluindo fotos de cachorros, mobília e também da mulher no vaso sanitário foram enviadas a startup Scale AI, responsável por contratar trabalhadores ao redor do mundo com a intenção de rotular dados de áudio, foto e vídeo utilizados no treino de IAs.

Em 2024 noticiamos que Hackers invadiram Aspiradores-Robô para espionar famílias, MIT já havia noticiado casos em 2022 devido a uma falha de segurança no dispositivo da Ecovacs Deebot X2s aconteceu nos EUA. Aspiradores de pó robóticos em várias cidades dos EUA foram hackeados no espaço de alguns dias, com o invasor controlando-os fisicamente e gritando obscenidades através de seus alto-falantes integrados. 

Em 2025, novamente, noticiamos aqui no Blog Minuto da Segurança que robôs aspirador podem ser a porta de entrada para um ataque milionário pois dispositivos IoT domésticos comprometidos já estavam sendo usados em ataques cibernéticos contra empresas e infraestruturas críticas. O que parece ser apenas mais um eletrodoméstico moderno — como um robô aspirador, uma câmera de segurança ou uma smart TV — pode, na prática, ser o elo mais fraco de uma rede corporativa. Dispositivos IoT (Internet das Coisas) conectados à internet, quando mal configurados ou desatualizados, têm se tornado alvos fáceis para cibercriminosos. E o risco não é só individual: equipamentos domésticos estão sendo usados como pontes para ataques em larga escala, incluindo vazamento de dados e prejuízos milionários por ataques DDoS (negação de serviço distribuído). 

Clique e fale com representante oficial segura

Veja também:

About mindsecblog 3503 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Golpes via mensagens falsas crescem 267% no Brasil

10/10/2024 mindsecblog Notícias 3

Golpes via mensagens falsas crescem 267% no Brasil, revela Kaspersky Panorama de ameaças de 2024 da empresa de cibersegurança mostra aumento de golpes com áudios e vídeos convincentes, manipulados por Inteligência Artificial A nova edição […]

Notícias

Apagão na Europa Levanta Suspeitas de Ciberataque

28/04/2025 mindsecblog Notícias 0

Apagão na Europa Levanta Suspeitas de Ciberataque e Relembra Falha Histórica da CrowdStrike Portugal, Espanha, França, Alemanha e até mesmo Marrocos estão na lista de países afetados pelo que pode ter sido um ataque realizado […]

Artigos

8 dicas para criar defesas e respostas a ataques de Ransomware

04/08/2020 mindsecblog Artigos, Notícias 4

8 dicas para criar defesas e respostas a ataques de Ransomware. Suponha que hackers retenham acesso remoto à rede até que se prove o contrário. Seguindo nossa série de artigos sobre Ransomware, vimos aqui trazer […]

Be the first to comment

Deixe sua opinião!