Seorang insinyur perangkat lunak secara tidak sengaja memperoleh akses ke rekaman kamera langsung, audio mikrofon, dan data lokasi dari hampir 7.000 penyedot debu robot DJI di 24 negara. Insiden ini menyoroti kelemahan keamanan kritis pada perangkat, sehingga menimbulkan pertanyaan tentang implikasi privasi dari semakin terhubungnya teknologi rumah pintar.
Akses Tidak Disengaja, Skala Global
Sammy Azdoufal, ketika mencoba membuat aplikasi kendali jarak jauh khusus untuk penyedot debu DJI Roborock miliknya, menemukan kerentanan backend yang memberinya akses ke sejumlah besar perangkat lain. Dengan memanfaatkan asisten pengkodean AI untuk merekayasa balik komunikasi robot dengan server cloud DJI, dia menemukan masalah kredensial. Alih-alih dibatasi pada ruang hampanya sendiri, server memperlakukannya sebagai pemilik ribuan lainnya. Ini berarti dia dapat melihat aliran kamera secara real-time, mengaktifkan mikrofon, menyusun denah lantai, dan mengidentifikasi perkiraan lokasi melalui alamat IP.
Ini bukan tentang peretasan; ini tentang kegagalan sistem dalam autentikasi. Kerentanan ini mengungkap sekumpulan robot yang terhubung ke internet, yang jika berada di tangan yang salah, dapat dengan mudah dijadikan senjata untuk pengawasan.
Respon DJI dan Implikasinya yang Lebih Luas
DJI mengklaim telah menyelesaikan masalah ini dengan dua pembaruan yang diterapkan pada bulan Februari, menyatakan bahwa tidak diperlukan tindakan pengguna. Namun, insiden ini menggarisbawahi tren yang berkembang: perangkat rumah pintar adalah target yang menarik bagi pelaku kejahatan. Ketika rumah tangga mengadopsi lebih banyak robot, termasuk model humanoid yang canggih, kerentanan kemungkinan akan menjadi lebih sulit untuk dideteksi.
Robot Romo, yang dijual dengan harga sekitar $2.000, mengandalkan pengumpulan data yang konstan – umpan visual dan denah lantai yang terperinci – untuk berfungsi secara mandiri. Data ini sebagian disimpan di server DJI, sehingga menimbulkan titik kegagalan terpusat. Penemuan insinyur ini menunjukkan bahwa sistem ini sering kali mengutamakan kenyamanan dibandingkan keamanan.
Pola Masalah Privasi yang Lebih Luas
Kerentanan DJI bukanlah kasus yang terisolasi. Kontroversi baru-baru ini yang melibatkan kamera Ring, bel pintu Google Nest, dan kekhawatiran geopolitik yang sedang berlangsung seputar produsen teknologi Tiongkok menggambarkan pola erosi privasi yang lebih besar di sektor rumah pintar. Anggota parlemen di AS telah memperingatkan tentang risiko keamanan perangkat buatan Tiongkok, meskipun bukti nyata masih belum jelas.
Kenyataannya adalah banyak perangkat rumah pintar memiliki sejarah praktik keamanan yang dipertanyakan, meskipun beroperasi di area paling pribadi dalam hidup kita. Riset pasar menunjukkan bahwa konsumen tidak hanya mengadopsi perangkat ini tetapi juga secara aktif mencari lebih banyak lagi. Pada tahun 2020, lebih dari 54 juta rumah tangga di AS sudah memiliki setidaknya satu perangkat rumah pintar yang terpasang.
Masa Depan Otomatisasi Rumah
Perusahaan seperti Tesla dan Figure berlomba mengembangkan robot humanoid yang sepenuhnya otonom untuk keperluan rumah tangga. Mesin-mesin ini memerlukan akses yang belum pernah terjadi sebelumnya ke detail intim rumah kita agar dapat berfungsi secara efektif. Hal ini menimbulkan prospek yang mengerikan: bagi pelaku kejahatan, potensi eksploitasi sangat besar.
Penemuan Azdoufal yang tidak disengaja ini menjadi pengingat bahwa ketergesaan dalam memanfaatkan teknologi rumah pintar harus diimbangi dengan langkah-langkah keamanan yang ketat. Meskipun ia hanya ingin mengendalikan robotnya dengan joystick, pengalamannya mengungkap kelemahan mendasar dalam arsitektur perangkat yang terhubung. Seiring dengan kemajuan teknologi, batasan antara kenyamanan dan pengawasan akan semakin kabur, sehingga menuntut kewaspadaan yang lebih besar baik dari produsen maupun konsumen.
