Pria Ini Tanpa Sengaja Mendapat Kendali atas 7.000 Robot Vacuum

 (popsci.com)
5 poin oleh GN⁺ 2026-02-23 | 1 komentar | Bagikan ke WhatsApp
  • Seorang insinyur perangkat lunak yang mencoba mengendalikan robot vacuum DJI dengan game controller justru memperoleh hak akses ke 7.000 perangkat
  • Saat mengembangkan aplikasi sendiri, ia memanfaatkan asisten coding AI untuk merekayasa balik metode komunikasi cloud, lalu menemukan celah keamanan di mana kredensial yang sama juga berlaku untuk perangkat lain
  • Akibatnya, informasi sensitif seperti tayangan kamera real-time, audio mikrofon, dan data peta dapat terekspos dari perangkat di 24 negara
  • Ia tidak menyalahgunakannya dan justru melaporkannya ke The Verge; DJI menyatakan telah segera merilis patch dan menyelesaikan masalah tersebut
  • Insiden ini menjadi contoh peringatan tentang kerentanan keamanan perangkat smart home dan amplifikasi risiko yang dapat ditimbulkan alat AI

Celah keamanan skala besar yang ditemukan pada robot vacuum DJI

  • Insinyur Sammy Azdoufal menemukan masalah ini saat mengembangkan aplikasi untuk mengendalikan robot vacuum DJI Romo miliknya dengan game controller
    • Ia menggunakan asisten coding AI untuk menganalisis komunikasi antara robot dan server cloud DJI
    • Server tidak hanya memverifikasi autentikasi untuk satu perangkat, tetapi juga memberikan hak akses yang sama ke ribuan perangkat lain
  • Akibatnya, ia bisa mengakses kamera, mikrofon, peta, dan data status dari lebih dari 7.000 robot vacuum
    • Melalui alamat IP, ia juga dapat melihat perkiraan lokasi perangkat-perangkat tersebut
    • Ia menjelaskan bahwa ini bukan “peretasan”, melainkan masalah keamanan yang ditemukan secara tidak sengaja

Respons DJI dan patch keamanan

  • DJI menyatakan telah mengonfirmasi kerentanan terkait DJI Home dalam tinjauan internal pada akhir Januari dan segera memulai prosedur perbaikan
    • Patch pertama didistribusikan otomatis pada 8 Februari, disusul pembaruan lanjutan pada 10 Februari
    • Masalah diselesaikan tanpa tindakan dari pengguna
  • DJI mengatakan akan terus menerapkan langkah penguatan keamanan tambahan, tetapi tidak mengungkap rincian spesifiknya
  • Azdoufal melaporkan masalah tersebut ke The Verge, sehingga DJI dapat merespons dengan cepat

Kekhawatiran yang meluas soal keamanan perangkat smart home

  • Insiden ini menunjukkan bahwa robot terhubung internet dan perangkat smart home dapat menjadi target yang menarik bagi peretas
  • Kekhawatiran privasi konsumen belakangan meningkat karena kontroversi iklan kamera Ring dan kasus pemulihan video Google Nest
  • Di Amerika Serikat, ada pula contoh sebagian produk dilarang dengan alasan risiko keamanan produk teknologi buatan China, termasuk DJI

Paradoks meluasnya smart home dan privasi

  • Per 2020, 54 juta rumah tangga di Amerika Serikat memiliki perangkat smart home
    • Pengguna yang sudah memasangnya cenderung membeli perangkat tambahan
  • Perusahaan seperti Tesla, Figure, dan 1X sedang mengembangkan robot humanoid untuk rumah, dan sebagian sudah dijual
    • Robot semacam ini perlu mengumpulkan detail interior rumah, sehingga risiko paparan data pribadi makin besar

Tantangan menyeimbangkan kemajuan teknologi dan keamanan

  • Alat coding berbasis AI meningkatkan efisiensi pengembangan, tetapi pada saat yang sama juga meningkatkan kemungkinan penyalahgunaan celah oleh nonspesialis
  • Kasus ini dinilai sebagai pengingat akan pentingnya pengelolaan keamanan di lingkungan konvergensi AI dan IoT
  • Azdoufal pada akhirnya memang berhasil mencapai tujuannya, yaitu mengendalikan robot dengan game controller, tetapi dalam prosesnya ia juga mengungkap celah dalam keamanan smart home

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-23
Komentar Hacker News

  • Ia menemukan bahwa dengan kredensial untuk mengendalikan perangkat miliknya, ia bisa mengakses kamera, mikrofon, peta, dan data status dari sekitar 7.000 robot vacuum di 24 negara di seluruh dunia
    Tahun lalu aku menemukan dan mengungkap masalah yang sama pada termostat pintar Mysa, di mana kredensial yang sama bisa dipakai untuk mengendalikan semua perangkat
    Rangkuman terkait ada di thread HN sebelumnya

    • Perangkat seperti ini pada dasarnya bisa menjadi alat mata-mata yang nyaris sempurna
      Menakutkan membayangkan vacuum murah bisa memata-matai isi rumah
    • Kisah termostat pintar itu yang paling menyeramkan
      Mini split Haier di rumahku juga terhubung lewat WiFi melalui aplikasi GE Home dan mengirim data ke GE Cloud
      Aku mencobanya sekali lalu langsung mengganti kata sandi WiFi dan tidak pernah menghubungkannya lagi
      Nanti rencananya akan kukendalikan sendiri dengan ESP32, sensor, dan pemancar/penerima IR
      Kalau ada celah di sistem seperti ini, rasanya penyerang juga bisa memicu lonjakan permintaan listrik
    • Aku jadi bertanya-tanya apakah mereka menghemat biaya saat manufaktur dengan tidak memasang kunci unik di setiap perangkat

  • Sekarang rasanya kita sudah berada di kondisi menyerah soal privasi
    Orang-orang santai saja menerima kamera di rumah mereka terhubung ke server eksternal
    Segelintir orang yang peduli tenggelam oleh mayoritas
    Pada akhirnya, hanya orang yang mengkhawatirkan privasi yang dirugikan

  • Roomba milikku diatur berjalan setiap hari pukul 5 sore, tetapi beberapa kali bangun sendiri pukul 7, masuk ke kamar tidur, diam di sana 5–10 menit lalu kembali
    Aku sama sekali tidak tahu alasannya

    • Jadi penasaran apakah setidaknya dia benar-benar membersihkan
      Kedengarannya seperti benar-benar hanya berdiri di samping tempat tidur lalu kembali lagi

  • Untuk sesaat, ada satu orang yang telah menyedot lebih banyak daripada siapa pun dalam sejarah umat manusia
    (ungkapan humor soal insiden robot vacuum ini)

  • Aku lebih suka perangkat yang tidak terhubung ke internet
    Fungsi dasarnya seharusnya tetap bekerja stabil secara offline, dan internet idealnya hanya menyediakan fitur tambahan lewat protokol keamanan terbuka
    Dengan begitu kita juga bisa mengimplementasikannya sendiri

  • Sepuluh tahun lalu di sebuah startup, kami memakai penyedia 401k, dan saat login aku pernah bisa melihat informasi rekening rekan kerja
    Isolasi akun mereka benar-benar rusak total
    Aku panik, tetapi membiarkannya begitu saja demi mencegah kebocoran privasi lebih lanjut
    Kalau dipikir sekarang, seharusnya aku lebih tegas mengangkat masalah itu

    • Aku juga biasanya berusaha tetap berhati-hati
      Tapi kalau pihak sana menanggapinya dengan malas, menurutku saat itulah layak mengungkap masalahnya secara publik

  • Berkat perkembangan teknologi, lelucon Stephen Wright kini pada dasarnya menjadi nyata dalam skala internet
    “Aku menyalakan sakelar yang tidak mengendalikan apa pun, lalu ada telepon dari Jerman.”

  • Artikel asli: The Verge - kerentanan peretasan DJI Romo
    Diskusi HN terkait: tautan

  • Aku sengaja membeli model tanpa kamera atau mikrofon

    • Eufy milikku mengklaim semua pemrosesan dilakukan secara lokal
      Aku belum memverifikasinya sendiri, tetapi itu satu-satunya merek Tiongkok yang menyebut lokalitas data dan privasi, jadi aku memilihnya
      Tentu saja aku tahu itu bisa berubah kapan saja lewat pembaruan firmware
      Meski begitu, aku puas karena rasio harga terhadap kualitasnya bagus
    • Menurutku, metode pergerakan acak pada Roomba lama diremehkan
      Kelihatannya memang tidak efisien, tetapi hasil bersih-bersihnya sebenarnya cukup bagus
    • Aku penasaran apakah di antara model tanpa kamera seperti ini ada yang punya fitur auto-empty
    • Aku juga ingin tahu apakah ada cara untuk memastikan benar-benar tidak ada kamera atau mikrofon
    • Lalu ada yang balik bertanya, kalau di smartphone juga ada mikrofon, apakah itu tidak masalah

  • Kalau seseorang punya kemampuan teknis walau sedikit, menurutku lebih baik membeli vacuum yang kompatibel dengan Valetudo lalu mengganti software bawaannya
    Situs resmi Valetudo

    • Tapi setelah melihat halaman “Why Not Valetudo” di situs itu, aku berubah pikiran
      Aku memang cukup paham teknis, tetapi alasan memakai robot vacuum adalah untuk menghemat waktu agar bisa melakukan hal yang lebih bernilai
      Valetudo tidak cocok untuk tujuan itu
      Ini proyek yang keren, tetapi bukan pilihan terbaik untuk semua orang
    • Aku penasaran apakah Claude bisa membantu proses penyiapan bagi orang yang tidak terbiasa dengan teknologi