Eksperimen Stik PS5 Berujung "Bobol" 7.000 Robot Vacuum di Dunia

controller, DJI Romo, Eksperimen Stik PS5 Berujung

Seorang teknisi perangkat lunak (software) bernama Sammy Azdoufal tak sengaja mendapatkan akses kontrol untuk sekitar 7.000 robot pembersih (vacuum) buatan DJI yang tersebar di berbagai negara di dunia. 

Pengalaman ini ia ceritakan kepada media teknologi TheVerge belum lama ini. 

Awalnya, Azdoufal hanya ingin membuat robot vacuum miliknya, DJI Romo, bisa dikendalikan menggunakan controller alias "stik" PlayStation 5 (PS5).

Ia kemudian menggunakan model kecerdasan buatan (AI) Claude Code untuk menganalisis lalu lintas komunikasi antara DJI Romo dan server pabrikan. Dari situ, ia memperoleh kode security token milik perangkatnya sendiri.

Ia lalu membangun aplikasi untuk mengirim perintah ke robot vacuum menggunakan token tersebut, dengan tujuan agar bisa dikendalikan secara fleksibel lewat controller PS5. 

Namun, token tersebut ternyata tidak hanya memberikan akses ke satu unit, melainkan ke sekitar 7.000 perangkat DJI Romo lain yang ada di berbagai negara.

Azdoufal mengakui, aplikasinya bisa mengumpulkan nomor seri dan data ribuan robot DJI Romo yang terhubung ke server global setiap tiga detik sekali. 

Data-data yang bisa diakses meliputi:

  • Rute pembersihan
  • Status baterai
  • Hambatan yang ditemui
  • Denah 2D rumah hasil pemetaan sensor
  • Akses kamera dan mikrofon secara langsung
  • Alamat IP masing-masing perangkat

Dengan data-data seperti ini, seperti alamat IP, lokasi kasar perangkat, menurut Azdoufal, dapat diperkirakan.

Meski demikian, ia menjelaskan bahwa itu bukan tujuan dia, lantaran penemuan bug ini murni ketidaksengajaan dan berasal dari eksperimen terhadap stik PS5 saja.

"Saya tidak melanggar aturan apa pun, tidak mengelabui (bypass) sistem, tidak meretas, atau tidak memaksa akses masuk (brute force) terhadap sistem DJI," kata Azdoufal. 

Sudah hubungi pihak DJI

controller, DJI Romo, Eksperimen Stik PS5 Berujung

Ilustrasi robot vacuum DJI Romo.

Saat menyadari ada bug akses ini, Azdoufal dan TheVerge langsung menghubungi pihak DJI untuk melaporkan temuan tersebut.

Dalam pernyataannya, DJI mengakui adanya masalah “backend permission validation issue affecting MQTT-based communication between the device and the server”.

Intinya, masalah ini berpotensi membuka akses tidak sah terhadap video langsung perangkat DJI Romo.

Untuk menambal bug tersebut, DJI lantas merilis pembaruan (patch) sistem dalam hitungan hari untuk menutup celah tersebut. Patch dilakukan dari sisi server sehingga tidak memerlukan tindakan dari pengguna.

Meski begitu, Azdoufal menyebut bahwa masih ada beberapa kerentanan lain yang belum sepenuhnya ditangani.

DJI berjanji akan menambal sisa celah tersebut dalam beberapa pekan ke depan.

Bug yang bisa beri akses perangkat

Kendati menjadi perhatian dari DJI dan sudah dilakukan perbaikan, kasus ini agaknya memunculkan pertanyaan soal penyimpanan data dan akses di server DJI.

Menurut Azdoufal, akar persoalan bukan pada enkripsi komunikasi perangkat, melainkan pada validasi izin akses di backend server.

Seperti diketahui, robot vacuum modern seperti DJI Romo sudah dilengkapi kamera, sensor pemetaan ruangan (LiDAR), koneksi cloud, hingga mikrofon untuk mengumpulkan data terkait operasi perangkat.

Data-data yang dari sensor ini agaknya dapat menggambarkan tata letak rumah secara detail, sehingga perangkat bisa bekerja dengan optimal.

Nah, jika celah seperti ini dieksploitasi pihak tak bertanggung jawab, risiko pelanggaran privasi bisa sangat mungkin terjadi, sebagaimana dirangkum KompasTekno dari Toms Hardware.

KOMPAS.com berkomitmen memberikan fakta jernih, tepercaya, dan berimbang. Dukung keberlanjutan jurnalisme jernih dan nikmati kenyamanan baca tanpa iklan melalui Membership. Gabung KOMPAS.com Plus sekarang

Post Related