一名工程師原本只想用PS5 DualSense手柄操控自家大疆ROMO掃地機器人,卻意外發現大疆雲端後端存在嚴重權限驗證缺陷,導致他能訪問全球約7000臺設備的實時數據。隨後,他向大疆報告多個漏洞,大疆確認支付每項漏洞3萬美元的賞金。
起因是工程師Sammy Azdoufal希望爲自家ROMO添加手柄操控功能。由於官方不支持,他自行開發應用,並藉助AI逆向工程大疆雲服務器認證流程,成功提取自身安全令牌。沒想到,該令牌權限遠超預期:不僅限於自家設備,還能訪問分佈在24個國家的約7000臺ROMO發送的數據,包括攝像頭直播畫面、麥克風音頻、房屋大致平面圖、IP地址推測位置,甚至部分設備可被遠程操作。
Sammy未濫用權限,而是選擇主動披露。The Verge等媒體報道後,大疆承認存在“後端權限驗證問題”,並表示已在1月底內部發現並開始修復。首批安全補丁於2月8日推送,2月10日繼續更新。至2月14日報道時,部分漏洞已修復,剩餘“嚴重”問題預計一個月內通過系統升級徹底解決。
大疆ROMO借鑑無人機技術,支持毫米級避障、強力清潔及寵物監控功能。此次事件再次凸顯智能家居雲端安全風險。幸好漏洞在被惡意利用前得到報告與修復,避免了大規模隱私泄露。Sammy的“玩心”意外促成安全改進,也收穫意外回報。
嗯……
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
