在上個月,媒體The Verge報道了一位用戶意外發現大疆掃地機器人存在遠程控制漏洞的事件。半個月後,發現問題的人表示,他拿到了大疆獎給他的3萬美元。
這位幸運兒名叫Sammy Azdoufal,他是怎麼發現大疆漏洞的呢?起因是他突發奇想,拿自己的PS5遊戲手柄遠程控制他新買的DJI Romo掃地機器人,然後他用自己開發的遙控程序與大疆的服務器通信時,突然發現響應的不止他家的那一臺,而是遍佈了全世界的7000多臺。並且,他還可以看到機器人繪製出的每個房間的地圖,並且通過機器人的IP大致定位它的位置,這個漏洞就很離譜了。
通過這個遙控程序,他能拿到每臺機器人的序列號、正在清掃的房間、攝像頭看到的東西,以及其他的運行數據。而他強調,他沒有違反任何規則,也沒有運用破解等手段,他只是提取了自家的大疆Romo私有令牌。結果他不僅能訪問在大疆服務器上的自己的數據,也能看到其他人的數據。並且他還找到了另一個漏洞:不用輸入PIN碼,就能調取到自家掃地機器人的實時視頻畫面。
很快的,在他和The Verge都向大疆報告了漏洞之後,大疆次日早上就迅速修好了這個bug。後來,大疆發言人Daisy Kong在聲明中提到,Sammy發現的無需安全PIN碼就能查看DJI Romo視頻畫面的問題在2月底解決。而訪問服務器的問題,大疆向The Verge表示這不僅僅存在一個漏洞,全面修復可能需要長達一個月的時間。
曾經出現在筆記本電腦和監控設備的攝像頭漏洞,這回又出現在了掃地機器人上。攝像頭既是個不可或缺的設備,有時也是個存在隱患的東西。只能說,每家企業都請對隱私保護多上點心吧。
