大疆扫地机爆严重漏洞 男子意外获取7千家庭监控画面

寂静回声

西班牙一男子在将大疆扫地机器人连接到遥控器时，意外地发现了一个令人震惊的智能家居安全漏洞——他可以实时访问来自24个国家近7000个家庭中的摄像头、麦克风和房屋平面图。

据英国卫报与科技媒体《The Verge》报导，阿兹杜法尔（Sammy Azdoufal）是一名软件工程师，他想用游戏机的控制手柄，来操控他的大疆扫地机器人DJI Romo。他用了一款人工智能程式设计助手，对扫地机器人与大疆远端云端服务器的通讯方式进行了逆向工程。

接下来发生的事情，就令人感到不可思议了。
阿兹杜法尔发现，当他自创的遥控应用程式开始与大疆的服务器连接时，不仅仅是一台扫地机做出了回应。而是遍布世界各地的大约7000台扫地机，都把存取权限同时授予了他。
阿兹杜法尔发现，他可以通过扫地机的即时摄影机画面，进行检视和监听，还能从这些设备获取超过10万个资讯。他还可以利用任何扫地机的IP地址，来确定其大致位置。
也就是说，他发现了一个后端安全漏洞，这个漏洞可以让连网的扫地机变成监控设备，在主人不知情的情况下监视他们。

阿兹杜法尔把这一发现告诉了科技网站The Verge。为了验证，该网站记者将自己家中的大疆DJI Romo扫地机器人的序号，提供给阿兹杜法尔。几分钟之后，阿兹杜法尔就看到这台扫地机器人正在清洁记者的客厅，电量还剩80%，并同步传回了记者的房屋平面图。
这个漏洞是一个非常低级的技术问题。大疆的MQTT讯息代理服务器（用来连机器人跟云端），完全没分主题权限控制。只要用一台设备的令牌验证，就能以明文形式查看其他设备的数据传递。
阿兹杜法尔表示，他并未入侵大疆的服务器，也认为自己没有违反任何规则。他没有利用漏洞牟利，而是选择公开此事。
“人们参与漏洞赏金计划是为了钱。我不在乎钱。我只想让这个问题得到解决。”他告诉科技媒体The Verge。

尽管大疆对科技媒体The Verge声称已经修复漏洞后，阿兹杜法尔进行测试后发现，仍然可以获得数千台机器人的即时数据。大疆随后发布了一份更完整的声明，承认存在后端权限验证问题，并于2月8日和10日发布了两个补丁。
阿兹杜法尔表示，其它漏洞仍未修复，包括一个“PIN码绕过”的漏洞，该漏洞允许用户在没有所需安全 PIN码的情况下查看大疆扫地机器人的视讯串流。

这一问题引起对智能居家设备的警觉。在社交媒体上人们议论纷纷，也有网友质疑并非此问题疏忽大意。
“说实话，在这个时代，这肯定是某个国家为了收集情报而故意为之。难怪美国禁售大疆无人机。我一开始还以为他们有点杞人忧天呢！”
“怎么知道这不是人为设计的呢？”
“我假装很惊讶…又一个来自.cn的NAT穿透MQTT后门？不会吧！”
“这就是不要相信中国产品的理由”