用户意外发现扫地机器人远程控制漏洞,获大疆3万美元奖励
上个月,知名科技媒体The Verge报道了一起大疆扫地机器人远程控制漏洞的发现事件。在短短半个月后,该漏洞的发现者宣布,他已成功获得大疆提供的3万美元赏金。
这位名叫Sammy Azdoufal的用户,最初只是出于好奇尝试使用自己的PS5游戏手柄远程操控刚购买的大疆DJI Romo扫地机器人。他在开发了一个能够与大疆服务器通信的遥控程序后,意外发现该程序不仅能与自己家的设备通信,还能与全球超过7000台DJI Romo设备进行交互。更令人震惊的是,该程序还能够获取这些设备所生成的房间地图,并根据机器人的IP地址大致确定其地理位置。此类漏洞的存在,显然对用户隐私和数据安全构成了巨大威胁。
通过该程序,Sammy能够访问每台扫地机器人所记录的序列号、当前清扫的区域、摄像头捕获的画面以及其他运行数据。他强调,整个过程并未涉及任何破解行为,也未违反任何使用条款。他只是利用了自家设备的私有令牌,结果却意外获得了大量其他用户的设备信息。
此外,他还发现另一个关键问题:即使不输入PIN码,也能调取自家扫地机器人的实时视频。这两个漏洞分别涉及访问控制机制和身份验证机制的失效,具有较高的安全风险。
在Sammy与The Verge先后向大疆报告后,大疆于次日迅速修复了部分问题。大疆发言人Daisy Kong向媒体表示,涉及无需安全PIN码即可访问视频的问题已于2月底修复。至于涉及服务器访问的漏洞,大疆表示其复杂性较高,全面修复可能需要长达一个月的时间。
此次事件再次表明,即便是智能清洁设备这类看似“低风险”的消费电子产品,也可能存在严重的隐私和安全漏洞。随着摄像头在各类物联网设备中广泛应用,其潜在风险也日益显现。此类事件提醒各制造商应更加重视产品在数据安全与用户隐私方面的防护措施。