loading...
西班牙一男子在將大疆掃地機器人連接到遙控器時,意外發現了一個令人震驚的智能家居安全漏洞——他可以即時瀏覽來自24個國家近7千個家庭中的監視鏡頭、麥克風和房屋平面圖。
據英國《衛報》與科技媒體「The Verge」報導,阿茲杜法爾 (Sammy Azdoufal)是一名軟體工程師,他想用遊戲機的控制手柄,來操控他的大疆掃地機器人DJI Romo。他用了一款人工智慧程式設計助手,對掃地機器人與大疆遠端雲端伺服器的通訊方式進行了逆向工程。
接下來發生的事情,就令人感到不可思議了。阿茲杜法爾發現,當他自創的遙控應用程式開始與大疆的伺服器連接時,不僅僅是一台掃地機做出了回應。而是遍布世界各地的大約7千台掃地機,都把存取權限同時授予了他。
阿茲杜法爾發現,他可以通過掃地機的即時攝影機畫面,進行檢視和監聽,還能從這些設備獲取超過10萬個資訊。他還可以利用任何掃地機的IP地址,來確定其大致位置。也就是說,他發現了一個後端安全漏洞,這個漏洞可以讓連網的掃地機變成監控設備,在主人不知情的情況下監視他們。
阿茲杜法爾把這一發現告訴了科技網站「The Verge」。為了驗證,該網站記者將自己家中的大疆DJI Romo掃地機器人的序號,提供給阿茲杜法爾。幾分鐘之後,阿茲杜法爾就看到這台掃地機器人正在清潔記者的客廳,電量還剩80%,並同步傳回了記者的房屋平面圖。
這個漏洞是一個非常低級的技術問題。大疆的MQTT訊息代理伺服器(用來連機器人跟雲端),完全沒分主題權限控制。只要用一台設備的令牌驗證,就能以明文形式查看其他設備的數據傳遞。
阿茲杜法爾表示,他並未入侵大疆的伺服器,也認為自己沒有違反任何規則。他沒有利用漏洞牟利,而是選擇公開此事。「人們參與漏洞賞金計畫是為了錢。我不在乎錢。我只想讓這個問題得到解決。」他告訴科技媒體The Verge。
儘管大疆對科技媒體The Verge聲稱已經修復漏洞後,阿茲杜法爾進行測試後發現,仍然可以獲得數千台機器人的即時數據。大疆隨後發布了一份更完整的聲明,承認存在後端權限驗證問題,並於2月8日和10日發布了兩個補丁。
阿茲杜法爾表示,其他漏洞仍未修復,包括一個「PIN 碼繞過」的漏洞,該漏洞允許用戶在沒有所需安全PIN碼的情況下查看大疆掃地機器人的視訊串流。
這一問題引起對智慧型居家設備的警覺。在社交媒體上人們議論紛紛,也有網友質疑並非此問題疏忽大意:「說實話,在這個時代,這肯定是某個國家為了收集情報而故意為之。難怪美國禁售大疆無人機。我一開始還以為他們有點杞人憂天呢!」、「怎麼知道這不是人為設計的呢?」、「這就是不要相信中共的理由。」◇
