快科技2月24日消息,近日,一名DIY爱好者试图用PS5游戏手柄控制自家大疆(DJI)Romo扫地机器人时,意外触发严重安全漏洞,导致全球约6700台该型号机器人遭未授权访问,可被查看实时摄像头画面、获取家庭2D楼层平面图,甚至定位设备位置。
此事经The Verge曝光后,大疆官方作出回应,称已完成漏洞修复。
发现该漏洞的是萨米·阿兹杜法尔(Sammy Azdoufal)。他向媒体表示,自己初衷只是觉得用PS5手柄控制新入手的大疆Romo很有趣,便用Claude Code软件逆向工程了机器人与大疆服务器的通信协议,自制了一款远程控制应用。
令人意外的是,这款应用连接服务器后出现权限失控,他仅提取了自家设备的私有令牌,便获得了全球约7000台Romo的响应。
The Verge记者现场见证了漏洞演示。9分钟内,阿兹杜法尔的电脑就记录了24个国家的6700台大疆设备,收集到10万余条设备消息,涵盖设备序列号、清洁房间、所见场景、行驶距离、充电时间及遇到的障碍物等。
托马斯居住空间的两张地图,上方是从DJI服务器获取的未经身份验证的地图;下方是房主在自己手机上看到的地图。
仅凭同事托马斯·里克(Thomas Ricker)提供的14位设备序列号,便能精准查看机器人正在清洁客厅、剩余80%电量的状态,还能获取同事家的精准楼层平面图。
阿兹杜法尔说他可以远程控制扫地机器人,并通过互联网观看实时视频。
此外,他还能绕过自身机器人的安全PIN码查看实时画面,甚至将一款只读版应用分享给法国一名IT咨询公司CTO贡扎格·丹布里库尔(Gonzague Dambricourt),对方在未配对设备的情况下,也能远程查看自家Romo的摄像头画面。
阿兹杜法尔强调,自己并未入侵大疆服务器,"我没有违反任何规则,没有破解、暴力破解任何系统",只是他提取的自家设备私有令牌,本应用于验证自身设备访问权限的密钥,被大疆服务器误判为通用权限,进而泄露了全球数千台设备的数据。
他还透露,自己每次关闭工具都会清除所有获取的数据,并未滥用漏洞侵犯他人隐私。
以下是大疆声明全文:
大疆(DJI)于1月下旬通过内部审查发现了一个影响大疆 DJI Home 的漏洞,并立即启动修复工作。该问题通过两次更新得到解决,首次补丁于2月8日部署,后续更新于2月10日完成。修复程序已自动部署,无需用户进行任何操作。
该漏洞属于后端权限验证问题,影响设备与服务器之间基于MQTT协议的通信。尽管此问题在理论上存在未经授权访问ROMO设备实时视频的可能性,但我方调查确认,实际发生此类情况的概率极低。
几乎所有已查明的相关行为,均为独立安全研究人员出于上报目的对自有设备进行的测试,仅存在极少数潜在例外情况。
首次补丁已针对该漏洞进行修复,但尚未在所有服务节点全面生效;第二次补丁则重新启用并重启了剩余服务节点。目前问题已完全解决,无证据表明造成了大范围影响。此次事件并非传输加密问题:ROMO 设备与服务器之间的通信从未以明文传输,始终通过 TLS 协议加密。与 ROMO 设备(例如位于欧洲的设备)相关的数据存储在美国的 AWS 云基础设施上。
大疆在数据隐私与安全方面坚持严格标准,并建立了识别和处理潜在漏洞的完善流程。公司已采用行业标准加密技术,并运营着长期运行的漏洞奖励计划。作为标准的事后修复流程的一部分,我们已审核通过该计划联系我们的独立安全研究人员所提供的发现与建议。大疆将持续实施更多安全增强措施,不断提升安全防护能力。
