大疆掃地機械人爆出嚴重漏洞,西班牙一名男子意外獲取到7千家庭監控畫面。(大疆掃地機械人廣告圖)
西班牙一男子在將大疆掃地機械人連接到遙控器時,意外地發現了一個令人震驚的智能家居安全漏洞——他可以實時訪問來自24個國家近7000個家庭中的攝像頭、麥克風和房屋平面圖。
據英國衛報與科技媒體《The Verge》報導,阿茲杜法爾(Sammy Azdoufal)是一名軟體工程師,他想用遊戲機的控制手柄,來操控他的大疆掃地機械人DJI Romo。他用了一款人工智能程式設計助手,對掃地機械人與大疆遠端雲端伺服器的通訊方式進行了逆向工程。
接下來發生的事情,就令人感到不可思議了。
阿茲杜法爾發現,當他自創的遙控應用程式開始與大疆的伺服器連接時,不僅僅是一台掃地機做出了回應。而是遍佈世界各地的大約7000台掃地機,都把存取權限同時授予了他。
阿茲杜法爾發現,他可以通過掃地機的即時攝影機畫面,進行檢視和監聽,還能從這些設備獲取超過10萬個資訊。他還可以利用任何掃地機的IP位址,來確定其大致位置。
也就是說,他發現了一個後端安全漏洞,這個漏洞可以讓連網的掃地機變成監控設備,在主人不知情的情況下監視他們。
阿茲杜法爾把這一發現告訴了科技網站The Verge。為了驗證,該網站記者將自己家中的大疆DJI Romo掃地機械人的序號,提供給阿茲杜法爾。幾分鐘之後,阿茲杜法爾就看到這台掃地機械人正在清潔記者的客廳,電量還剩80%,並同步傳回了記者的房屋平面圖。
這個漏洞是一個非常低級的技術問題。大疆的MQTT訊息代理伺服器(用來連機械人跟雲端),完全沒分主題權限控制。只要用一台設備的令牌驗證,就能以明文形式查看其他設備的數據傳遞。
阿茲杜法爾表示,他並未入侵大疆的伺服器,也認為自己沒有違反任何規則。他沒有利用漏洞牟利,而是選擇公開此事。
「人們參與漏洞賞金計劃是為了錢。我不在乎錢。我只想讓這個問題得到解決。」他告訴科技媒體The Verge。
儘管大疆對科技媒體The Verge聲稱已經修復漏洞後,阿茲杜法爾進行測試後發現,仍然可以獲得數千台機械人的即時數據。大疆隨後發佈了一份更完整的聲明,承認存在後端權限驗證問題,並於2月8日和10日發佈了兩個補丁。
阿茲杜法爾表示,其它漏洞仍未修復,包括一個「PIN碼繞過」的漏洞,該漏洞允許用戶在沒有所需安全 PIN碼的情況下查看大疆掃地機械人的視訊串流。
這一問題引起對智能居家設備的警覺。在社交媒體上人們議論紛紛,也有網友質疑並非此問題疏忽大意。
「說實話,在這個時代,這肯定是某個國家為了收集情報而故意為之。難怪美國禁售大疆無人機。我一開始還以為他們有點杞人憂天呢!」
「怎麼知道這不是人為設計的呢?」
「我假裝很驚訝…又一個來自.cn的NAT穿透MQTT後門?不會吧!」
「這就是不要相信中共的理由」
