32岁的Sammy Azdoufal原本只是想把自己购买的中国品牌DJI Romo扫地机器人与PlayStation手柄连接,以便像玩游戏一样操控设备。他在接受美国科技媒体The Verge采访时表示,自己在研究配套手机应用程序与机器人之间的数据通信时,发现了异常。
“这款机器人有配套应用程序,我只是想弄清楚,当我移动机器人时,应用向设备发送了什么指令。”他说。在进一步测试过程中,他意外获得了对大量其他设备数据的访问权限。
⸻
据其描述,通过这一漏洞,可以访问:
• 用户住宅的完整房屋平面图
• 设备摄像头的视频流
• 麦克风权限
• 以及通过IP地址推算出的设备大致地理位置
他表示,这一发现“令人震惊,也有些害怕”。随后,他主动联系厂商报告问题。
在未得到及时回应后,他联系了《The Verge》。媒体记者向他提供了一台测试用扫地机器人的14位序列号。通过该编号,他确实成功调取了记者住宅的详细户型图,但当时已无法再访问摄像头或麦克风,也不能远程控制设备——漏洞已在此期间被修复。
⸻
值得注意的是,Sammy表示,他并未入侵服务器,而是通过系统逻辑漏洞获取访问权限。
英国萨里大学计算机科学教授Alan Woodward指出,此类事件表明,一些厂商在追求创新速度与价格竞争力时,可能忽视了安全设计。
他在接受英国《卫报》采访时表示:“软件开发早已证明,如果优先考虑功能扩展和市场竞争,而非安全架构,漏洞几乎是不可避免的。”
⸻
涉事企业方面表示,公司在1月底内部审查中已发现“DJI Home”存在安全漏洞,并已立即修复,无需用户采取任何额外操作。
公司声明称:“我们高度重视来自安全社区的报告,并迅速进行评估。我们正在加强PIN码验证机制,并审查研究人员提出的其他问题。”同时强调,其系统采用“符合行业标准的加密技术”和“多层级安全防护机制”。
来源:Le Parisien
暂无评论,快来抢沙发吧!首评可提升互动曝光。