Courtesy of TheVerge

Celah Keamanan Robot Vacuum DJI Romo Buka Akses Ribuan Perangkat Global

Mengungkap celah keamanan serius pada robot vacuum DJI Romo yang memungkinkan akses luas tanpa izin, dan mendorong perbaikan serta kesadaran akan risiko keamanan perangkat smart home.

14 Feb 2026, 15.00 WIB

276 dibaca

Ikhtisar 15 Detik

Keamanan produk teknologi rumah pintar sangat penting untuk melindungi privasi pengguna.
Kerentanan dalam sistem dapat mengekspos data sensitif dan memicu masalah yang lebih besar.
Transparansi dan respons cepat dari perusahaan terhadap masalah keamanan sangat diperlukan untuk menjaga kepercayaan konsumen.

Barcelona, Spanyol - Sammy Azdoufal berusaha mengendalikan robot vacuum DJI Romo miliknya dengan menggunakan gamepad PS5, tapi menemukan bahwa server DJI yang digunakan ternyata mengizinkan akses ke ribuan robot selain miliknya. Hal ini membuatnya bisa melihat video langsung, lokasi, dan peta ruangan tempat robot-robot itu beroperasi.

DJI menggunakan sistem komunikasi MQTT untuk robot vacuum mereka, yang secara rutin mengirimkan data ke server pusat. Namun, sistem ini memiliki masalah besar dalam validasi akses sehingga seseorang yang sudah memiliki token akses sendiri bisa melihat data dari ribuan perangkat lain tanpa izin.

Setelah Azdoufal melaporkan masalah ini, DJI mengaku telah melakukan perbaikan sejak bulan Februari. Namun, perbaikan awal tidak diterapkan ke semua server sehingga celah masih bisa dimanfaatkan. DJI baru benar-benar menutup celah ini setelah pengujian dan pelaporan ulang.

Meskipun data komunikasi enkripsi menggunakan TLS, metode ini hanya mengamankan jalur data, bukan isi data di server yang bisa diakses oleh klien yang sudah terautentikasi. Hal ini menjadi kelemahan serius yang membuka risiko penyalahgunaan data, khususnya privasi pengguna yang memiliki robot dengan kamera dan mikrofon di rumah.

Kasus ini menimbulkan pertanyaan besar tentang keamanan data perangkat IoT khususnya robot vacuum dengan kamera, dan perlunya perusahaan seperti DJI meningkatkan protokol keamanan mereka serta transparansi dalam menangani laporan kerentanan agar kepercayaan pengguna tetap terjaga.

Referensi:
[1] https://theverge.com/tech/879088/dji-romo-hack-vulnerability-remote-control-camera-access-mqtt

Analisis Ahli

Kevin Finisterre

"Lokasi server di Amerika Serikat tidak mencegah pegawai dari luar negeri termasuk China mengakses data jika kontrol akses tidak diterapkan dengan benar; TLS hanya mengamankan jalur komunikasi tapi bukan isi data dari pengguna lain yang terautentikasi."

Analisis Kami

"Ini memperlihatkan bagaimana kurangnya kontrol akses di backend dan penggunaan MQTT tanpa ACL yang ketat bisa menimbulkan risiko besar bagi privasi pengguna smart home. Perusahaan harus tidak hanya fokus pada enkripsi komunikasi tapi juga memastikan bahwa sistem server memiliki pembatasan akses yang tepat agar data tidak mudah diakses oleh pihak tidak berwenang."

Prediksi Kami

Masalah keamanan pada perangkat smart home seperti robot vacuum akan menjadi perhatian utama dan mendorong regulasi lebih ketat serta perbaikan standar keamanan perangkat IoT agar melindungi data dan privasi pengguna.