日前,一名DIY爱好者在尝试用PlayStation 5手柄控制其新购的大疆(DJI)Romo扫地机器人时,意外揭露并触发了一个严重的系统安全漏洞。利用该漏洞,可未经授权访问全球范围内约6700台同型号机器人,不仅能查看其实时摄像头画面,获取家庭内部的2D楼层平面图,甚至能追踪设备的具体位置。
该事件的发现者萨米·阿兹杜法尔向媒体表示,其初衷只是想探索使用游戏手柄来控制Romo的趣味性,于是便利用Claude Code软件对机器人与大疆服务器间的通信协议进行了反向工程分析,并据此自行编写了一款远程控制应用。但令人意外的是,这款应用在连接服务器后出现了严重的权限控制失误。
“我原本只是为了获取我自己设备的访问密钥,服务器却向我返回了全球近7000台设备的私密数据。”阿兹杜法尔解释道。他获取的本应是仅用于验证其自身设备的私有令牌,却被大疆的服务器错误地授予了查看数千台其他陌生家庭设备的通用权限。根据演示记录,在短短9分钟内,他的工具便捕捉到了来自24个国家的Romo设备发送出的超10万条消息,内容覆盖设备序列号、清洁活动、摄像头所见画面、行驶距离、充电状况以及环境障碍物等诸多敏感数据。他甚至仅仅依靠同事提供的14位设备序列号,便能精准调出对方家中的楼层平面图,并实时查看机器人正在清洁客厅且电量剩余80%的状态。此外,他还能绕过自家设备的安全PIN码,直接启动摄像头实时流传输,并允许他人在未配对的情况下远程观看。
在The Verge记者现场验证并报道此事后,大疆官方已作出回应,表示安全团队已完成了对此漏洞的修复工作。阿兹杜法尔强调,整个过程并未涉及对大疆服务器的黑客攻击或入侵行为,他所使用的全部是公开的通信接口,并称每次测试后都会立即清除获取的所有他人数据,未曾滥用这些信息以侵犯用户隐私。这一事件凸显了智能家居设备在安全设计上的潜在风险。
浙公网安备 33010502007447号