一名工程师原本只想用PS5 DualSense手柄操控自家大疆ROMO扫地机器人,却意外发现大疆云端后端存在严重权限验证缺陷,导致他能访问全球约7000台设备的实时数据。随后,他向大疆报告多个漏洞,大疆确认支付每项漏洞3万美元的赏金。
起因是工程师Sammy Azdoufal希望为自家ROMO添加手柄操控功能。由于官方不支持,他自行开发应用,并借助AI逆向工程大疆云服务器认证流程,成功提取自身安全令牌。没想到,该令牌权限远超预期:不仅限于自家设备,还能访问分布在24个国家的约7000台ROMO发送的数据,包括摄像头直播画面、麦克风音频、房屋大致平面图、IP地址推测位置,甚至部分设备可被远程操作。
Sammy未滥用权限,而是选择主动披露。The Verge等媒体报道后,大疆承认存在“后端权限验证问题”,并表示已在1月底内部发现并开始修复。首批安全补丁于2月8日推送,2月10日继续更新。至2月14日报道时,部分漏洞已修复,剩余“严重”问题预计一个月内通过系统升级彻底解决。
大疆ROMO借鉴无人机技术,支持毫米级避障、强力清洁及宠物监控功能。此次事件再次凸显智能家居云端安全风险。幸好漏洞在被恶意利用前得到报告与修复,避免了大规模隐私泄露。Sammy的“玩心”意外促成安全改进,也收获意外回报。
嗯……
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com
