一名安全研究员在尝试用 PS5 手柄控制自己的大疆(DJI)Romo 扫地机器人时,意外发现了一个巨大的安全漏洞。他通过提取自己设备的私钥,获取了访问大疆服务器的权限,进而可以查看和控制全球约 7000 台同款机器人。这个漏洞暴露了设备摄像头、麦克风和用户家庭布局图等高度敏感的数据。尽管大疆在接到报告后修复了漏洞,但其最初的回应并不完全透明,且修复过程一波三折,引发了对智能家居设备普遍存在的隐私和安全风险的广泛担忧。
一次意外的“黑客”行为
安全研究员 Sammy Azdoufal 的初衷很简单,只是想用游戏手柄远程控制他的新扫地机器人。但当他自制的应用程序与大疆的服务器连接时,响应他的不只是一台设备。
- 全球约 7000 台 Romo 扫地机器人开始将 Azdoufal 视为它们的控制者。
- 他可以远程操控这些机器人,并通过它们的摄像头和麦克风进行实时观看和收听。
- 他还能看到机器人绘制的房屋 2D 户型图,并通过 IP 地址追踪设备的大致位置。
“我发现我的设备只是设备海洋中的一个。”
在一次现场演示中,仅凭一个评测设备的序列号,Azdoufal 就能准确说出它正在打扫客厅,并剩余 80% 的电量。几分钟内,他就在另一国家的电脑上,看到了该设备传输过来的精确户型图。
漏洞根源:脆弱的服务器权限
Azdoufal 强调他并未攻击或破解大疆的服务器。他所做的,仅仅是提取了自己设备用于身份验证的 私有令牌(private token)。
问题出在大疆的服务器端:
- 权限验证失误: 服务器在验证了一个用户的令牌后,本应只提供该用户的数据,但它却错误地开放了数千个其他用户的数据访问权限。
- MQTT 协议漏洞: 问题集中在用于设备间通信的 MQTT 服务器上。一旦成为认证用户,就可以订阅并查看所有设备发送的明文消息,因为服务器缺少对单个主题的精细访问控制。
- 加密形同虚设: 尽管大疆声称传输过程使用了 TLS 加密,但这只保护了数据在传输“管道”中的安全。一旦进入服务器内部,所有授权用户都能看到管道内的所有内容。
TLS 加密只保护了传输管道,但无法阻止管道内已授权的参与者查看内容。
大疆的回应与遗留问题
大疆在接到报告后的处理过程并不顺利,其透明度也受到质疑。
- 初步修复不彻底: 大疆最初声称漏洞已修复,但 Azdoufal 演示表明,他仍然可以访问数千台机器人的数据,只是无法进行实时控制。
- 最终完成修复: 在媒体介入并确认问题依然存在后,大疆才部署了第二个补丁,彻底堵住了这个漏洞。
- 官方声明: 大疆承认存在“后端权限验证问题”,但声称在一月底的内部审查中就已发现该问题。他们强调,实际未经授权的访问极为罕见。
然而,这次事件暴露出的问题远未结束。
- 挥之不去的担忧: Azdoufal 指出,一些次要漏洞(如无需 PIN 码即可查看视频流)仍未修复。更重要的是,这次事件凸显了智能家居行业普遍存在的安全短板,此前 Ecovacs、Dreame、Wyze 等品牌也曾爆出类似丑闻。
- 信任危机: 当用户将带有摄像头和麦克风的设备带入家中时,他们期望自己的隐私得到保护。如果一个无意的研究员都能轻易发现如此严重的漏洞,那么怀有恶意的人员所能造成的危害难以想象。这件事无疑加剧了公众对智能设备数据安全的普遍不信任。