TEKNOLOGI, Perspektif.co.id — Seorang peneliti keamanan siber berhasil membongkar kerentanan serius pada robot vacuum DJI Romo yang baru saja meluncur, memungkinkan akses tidak sah ke ribuan perangkat di seluruh dunia. Penemuan ini menyoroti risiko privasi yang semakin nyata di era perangkat rumah pintar yang terhubung ke cloud, di mana kamera dan mikrofon bisa dimanfaatkan tanpa sepengetahuan pemiliknya.

Sammy Azdoufal, pemimpin strategi AI di sebuah perusahaan penyewaan liburan, menemukan celah ini saat mengembangkan aplikasi sederhana untuk mengontrol robot vacuumnya sendiri menggunakan controller PS5. Tanpa perlu meretas server, ia bisa mengakses data dari sekitar 7.000 unit DJI Romo yang tersebar di 24 negara, termasuk rekaman video langsung, audio, peta lantai rumah, dan bahkan lokasi perkiraan berdasarkan alamat IP.

Kerentanan ini berasal dari protokol komunikasi MQTT yang digunakan DJI untuk menghubungkan perangkat ke server cloud-nya. Azdoufal hanya mengekstrak token autentikasi pribadi dari perangkatnya sendiri, lalu menggunakan wildcard untuk berlangganan semua topik data yang tersedia, sehingga bisa melihat pesan plaintext dari ribuan perangkat lain secara real-time.

Menurut Azdoufal, “Perangkat saya hanyalah satu titik kecil di lautan data yang bisa diakses siapa saja yang punya token serupa. Ini bukan hacking rumit, tapi kegagalan mendasar dalam validasi izin backend.”

DJI telah merespons dengan cepat setelah diberitahu. Perusahaan mengakui adanya “masalah validasi izin backend” yang terdeteksi pada akhir Januari 2026 dan langsung menerapkan patch pada 8 dan 10 Februari. Pembaruan ini diterapkan otomatis ke semua node server tanpa perlu tindakan dari pengguna.

Meski begitu, para ahli keamanan memperingatkan bahwa insiden ini hanyalah puncak gunung es. Robot vacuum dengan kamera dan mikrofon seperti DJI Romo semakin populer, tapi sering kali mengandalkan enkripsi TLS yang hanya melindungi data saat transit, bukan akses internal dari klien yang sudah terautentikasi.

Kevin Finisterre, peneliti keamanan independen, menambahkan, “Server berbasis AWS di AS tidak menjamin keamanan jika karyawan DJI di China bisa mengaksesnya. MQTT tanpa kontrol akses topik-level membuat data sensitif seperti peta rumah dan rekaman video rentan terhadap penyalahgunaan.”

Kasus ini mirip dengan kerentanan serupa yang pernah menimpa merek robot vacuum lain seperti Ecovacs dan Dreame tahun sebelumnya, di mana hacker bisa mengendalikan perangkat untuk mengganggu pemilik rumah atau mencuri foto pribadi.

DJI menegaskan bahwa data disimpan dengan enkripsi kuat dan mereka memiliki program bug bounty untuk mencegah masalah serupa. Namun, insiden ini kembali memicu perdebatan tentang regulasi keamanan perangkat IoT, terutama produk asal China yang sering menjadi sorotan di pasar Barat.

Bagi pengguna DJI Romo, disarankan segera memeriksa aplikasi untuk memastikan firmware terbaru sudah terinstal. Sementara itu, para pakar menyarankan untuk mematikan fitur kamera dan mikrofon saat tidak digunakan, serta mempertimbangkan jaringan terpisah untuk perangkat pintar rumah.