Pria Ini Tak Sengaja Hack Robot Vacuum Sedunia, DJI Kasih Ganjaran

Seorang programmer asal Spanyol bernama Sammy Azdoufal mendapat hadiah sebesar 30.000 dollar AS (sekitar Rp 500 juta) dari perusahaan teknologi DJI.

Hadiah itu diberikan setelah Azdoufal tanpa sengaja menemukan celah keamanan yang memungkinkan pengguna mengendalikan sekitar 7.000 robot vacuum DJI Romo di seluruh dunia.

Kronologinya bermula ketika Azdoufal berkesperimen dengan robot vacuum DJI Romo miliknya. 

Dia melakukan reverse engineering terhadap protokol komunikasi robot vacuum milik DJI dengan bantuan AI coding assistant Claude Code.

Sederhananya, ia membuat aplikasi kendali robot vacuum secara kustom untuk mengoperasikan perangkat tersebut dari jarak jauh.

Dengan cara itu, ia berhasil mengendalikan robot vacuum DJI Romo yang baru dia beli, menggunakan gamepad PlayStation 5. 

Namun, ketika aplikasi yang dia buat mulai berkomunikasi dengan server DJI, respons tidak hanya datang dari perangkat miliknya. Menurut laporan outlet media Wired, sekitar 7.000 robot vacuum di 24 negara di dunia, justru ikut merespons.

Hal ini membuat Azdoufal dapat mengoperasikan ribuan DJI Romo dari jarak jauh, sekaligus mengakses kamera yang terpasang pada robot. Dengan akses ini pula, dia berpotensi melihat dan mendengar aktivitas di dalam rumah pengguna yang kemungkinan tidak ia kenal.

Selain itu, akses tersebut juga memungkinkannya menyaksikan proses robot memetakan ruangan dan membuat denah lantai dua dimensi. Pria ini juga bisa memperkirakan lokasi perangkat melalui alamat IP yang terhubung.

Ilustrasi DJI Romo.

Meski demikian, Azdoufal menegaskan bahwa temuannya tidak melibatkan peretasan sistem DJI.

Dia menegaskan bahwa dirinya hanya mengekstrak token autentikasi pribadi dari perangkat miliknya sendiri.

“Saya tidak melanggar aturan apapun, tidak melanggar sistem, tidak meretas, atau melakukan brute force,” ujarnya.

Token autentikasi tersebut pada dasarnya digunakan untuk memverifikasi bahwa pengguna memiliki izin untuk mengakses data perangkatnya sendiri.

Namun saat Azdoufal menggunakan token tersebut, server DJI justru mengembalikan informasi dari ribuan perangkat lain.

Adapun DJI telah mengonfirmasi soal pemberian hadiah ini bagi peneliti keamanan terkait, tanpa merincinya sebagai temuan Azdoufal.

Perusahaan asal China ini juga tidak mengungkapkan rincian celah keamanan yang ditemukan.

Yang jelas, DJI telah merilis update software untuk memperbaiki kerentanan itu. Meski demikian, perusahaan menambahkan bahwa beberapa kerentanan tambahan kemungkinan membutuhkan waktu hingga sekitar satu bulan lagi untuk diperbaiki sepenuhnya, dihimpun KompasTekno dari VN Express.

KOMPAS.com berkomitmen memberikan fakta jernih, tepercaya, dan berimbang. Dukung keberlanjutan jurnalisme jernih dan nikmati kenyamanan baca tanpa iklan melalui Membership. Gabung KOMPAS.com Plus sekarang