Seorang teknisi perangkat lunak bernama Sammy Azdoufal secara tidak sengaja mendapatkan akses kontrol terhadap sekitar 7.000 unit robot pembersih DJI Romo yang tersebar di berbagai negara. Kejadian ini bermula dari eksperimen pribadi Azdoufal untuk mengendalikan robot vacuum miliknya menggunakan stik PlayStation 5 (PS5).
Awal Mula Eksperimen Stik PS5
Azdoufal awalnya hanya berkeinginan agar DJI Romo miliknya dapat dikendalikan secara fleksibel melalui controller PS5. Ia kemudian memanfaatkan model kecerdasan buatan (AI) Claude Code untuk menganalisis lalu lintas komunikasi antara perangkat DJI Romo dan server pabrikan.
Dari analisis tersebut, Azdoufal berhasil memperoleh kode security token milik perangkatnya sendiri. Ia lalu membangun sebuah aplikasi yang bertujuan mengirimkan perintah ke robot vacuum menggunakan token tersebut. Namun, token yang didapatkan ternyata tidak hanya memberikan akses ke satu unit, melainkan ke sekitar 7.000 perangkat DJI Romo lain yang terhubung ke server global.
Azdoufal mengakui bahwa aplikasinya mampu mengumpulkan nomor seri dan data ribuan robot DJI Romo setiap tiga detik sekali. Ia menegaskan bahwa penemuan bug ini murni ketidaksengajaan dan berasal dari eksperimen terhadap stik PS5.
“Saya tidak melanggar aturan apa pun, tidak mengelabui (bypass) sistem, tidak meretas, atau tidak memaksa akses masuk (brute force) terhadap sistem DJI,” ujar Azdoufal.
Data Sensitif yang Terekspos
Data-data yang dapat diakses melalui celah ini meliputi rute pembersihan, status baterai, hambatan yang ditemui, serta denah 2D rumah hasil pemetaan sensor. Selain itu, akses langsung ke kamera dan mikrofon perangkat, serta alamat IP masing-masing unit juga dapat diperoleh.
Dengan adanya data seperti alamat IP, lokasi kasar perangkat dapat diperkirakan. Potensi pelanggaran privasi menjadi sangat mungkin terjadi jika celah ini dieksploitasi oleh pihak yang tidak bertanggung jawab.
Respons dan Perbaikan dari DJI
Setelah menyadari adanya bug akses ini, Azdoufal bersama media teknologi TheVerge segera menghubungi pihak DJI untuk melaporkan temuan tersebut. DJI kemudian mengakui adanya masalah “backend permission validation issue affecting MQTT-based communication between the device and the server”.
DJI menjelaskan bahwa masalah ini berpotensi membuka akses tidak sah terhadap video langsung perangkat DJI Romo. Untuk menambal bug tersebut, DJI merilis pembaruan (patch) sistem dalam hitungan hari dari sisi server, sehingga tidak memerlukan tindakan dari pengguna.
Meski demikian, Azdoufal menyebut bahwa masih terdapat beberapa kerentanan lain yang belum sepenuhnya ditangani. Pihak DJI berjanji akan menambal sisa celah tersebut dalam beberapa pekan ke depan.
Akar Masalah dan Risiko Privasi
Kasus ini memunculkan pertanyaan serius mengenai penyimpanan data dan akses di server DJI. Menurut Azdoufal, akar persoalan bukan terletak pada enkripsi komunikasi perangkat, melainkan pada validasi izin akses di backend server.
Robot vacuum modern seperti DJI Romo dilengkapi dengan kamera, sensor pemetaan ruangan (LiDAR), koneksi cloud, hingga mikrofon untuk mengumpulkan data operasional. Data-data dari sensor ini dapat menggambarkan tata letak rumah secara detail, yang krusial untuk kinerja optimal perangkat.
Informasi lengkap mengenai isu ini disampaikan melalui pernyataan resmi Sammy Azdoufal kepada TheVerge dan respons dari pihak DJI yang dirilis belum lama ini.