Seorang teknisi perangkat lunak bernama Sammy Azdoufal secara tak sengaja berhasil mendapatkan akses kontrol ke sekitar 7.000 unit robot pembersih DJI Romo yang tersebar di berbagai negara. Penemuan mengejutkan ini terjadi saat Azdoufal bereksperimen untuk mengendalikan robot vacuum miliknya menggunakan stik PlayStation 5 (PS5).
Pihak DJI, produsen robot vacuum tersebut, telah mengakui adanya celah keamanan ini dan segera merilis pembaruan sistem untuk menambal kerentanan yang berpotensi membahayakan privasi pengguna.
Latar Belakang Penemuan Celah
Awalnya, Azdoufal hanya berniat agar robot vacuum DJI Romo miliknya dapat dikendalikan secara fleksibel melalui controller PS5. Ia kemudian memanfaatkan model kecerdasan buatan (AI) Claude Code untuk menganalisis lalu lintas komunikasi antara perangkat DJI Romo dan server pabrikan.
Dari analisis tersebut, Azdoufal berhasil memperoleh kode security token milik perangkatnya sendiri. Ia lantas membangun sebuah aplikasi untuk mengirim perintah ke robot vacuum menggunakan token tersebut. Namun, token yang didapatkannya ternyata tidak hanya memberikan akses ke satu unit, melainkan ke sekitar 7.000 perangkat DJI Romo lain yang terhubung ke server global.
Azdoufal mengungkapkan, aplikasinya mampu mengumpulkan nomor seri dan data ribuan robot DJI Romo setiap tiga detik. Ia menegaskan bahwa penemuan ini murni ketidaksengajaan dari eksperimen stik PS5.
“Saya tidak melanggar aturan apa pun, tidak mengelabui (bypass) sistem, tidak meretas, atau tidak memaksa akses masuk (brute force) terhadap sistem DJI,” kata Sammy Azdoufal.
Data Sensitif yang Terekspos
Dengan akses yang tidak disengaja ini, Azdoufal dapat melihat berbagai data sensitif dari ribuan perangkat. Data-data yang bisa diakses meliputi:
- Rute pembersihan
- Status baterai
- Hambatan yang ditemui
- Denah 2D rumah hasil pemetaan sensor
- Akses kamera dan mikrofon secara langsung
- Alamat IP masing-masing perangkat
Azdoufal menjelaskan, dengan data seperti alamat IP, lokasi kasar perangkat dapat diperkirakan. Informasi ini berpotensi menggambarkan tata letak rumah secara detail, yang jika dieksploitasi pihak tak bertanggung jawab, dapat menimbulkan risiko pelanggaran privasi yang serius.
Tanggapan dan Perbaikan dari DJI
Setelah menyadari adanya celah akses ini, Azdoufal bersama media teknologi TheVerge segera menghubungi pihak DJI untuk melaporkan temuan tersebut. Dalam pernyataannya, DJI mengakui adanya masalah “backend permission validation issue affecting MQTT-based communication between the device and the server”.
DJI menjelaskan, masalah ini berpotensi membuka akses tidak sah terhadap video langsung perangkat DJI Romo. Untuk menambal bug tersebut, DJI lantas merilis pembaruan sistem (patch) dalam hitungan hari. Perbaikan dilakukan dari sisi server sehingga tidak memerlukan tindakan dari pengguna.
Meski demikian, Azdoufal menyebut bahwa masih ada beberapa kerentanan lain yang belum sepenuhnya ditangani. Pihak DJI berjanji akan menambal sisa celah tersebut dalam beberapa pekan ke depan.
Ancaman Privasi di Balik Teknologi Canggih
Kasus ini menyoroti pentingnya keamanan data dan validasi akses di server perangkat pintar. Menurut Azdoufal, akar persoalan bukan pada enkripsi komunikasi perangkat, melainkan pada validasi izin akses di backend server.
Robot vacuum modern seperti DJI Romo dilengkapi dengan kamera, sensor pemetaan ruangan (LiDAR), koneksi cloud, hingga mikrofon untuk mengumpulkan data operasional. Data-data ini sangat vital dan dapat menggambarkan lingkungan pribadi pengguna secara rinci.
Informasi lengkap mengenai isu ini disampaikan melalui laporan Sammy Azdoufal kepada media teknologi TheVerge dan diulas oleh KompasTekno serta Toms Hardware.