西班牙一名軟件工程師近日披露,大疆掃地機械人存在嚴重後端安全漏洞。他用自家掃地機可以遠程訪問來自24個國家、近7000個家庭中的攝影機、麥克風和房屋平面圖,甚至定位設備位置。
據美國科技媒體「The Verge」報道,西班牙工程師阿茲杜法爾(Sammy Azdoufal)在嘗試用AI技術改造大疆旗下掃地機械人(DJI Romo),使其與PlayStation 5控制器聯動時,意外獲得該設備全球24個國家、地區約7000台伺服器的訪問權。通過設備內置攝影機,他可遠程窺視用戶房屋內部、繪製布局圖,甚至利用IP地址追蹤設備位置。
也就是說,他發現了一個後端安全漏洞,這個漏洞可以讓連網的掃地機變成監控設備,在主人不知情的情況下監視他們。
為驗證漏洞真實性,「The Verge」記者向其提供自家設備序列號。數分鐘後,阿茲杜法爾即成功查看到該設備正在清潔記者的客廳,電量還剩80%,並同步傳回了記者的房屋平面圖。
阿茲杜法爾說,他未採取任何非法入侵手段,僅通過接口訪問漏洞即可獲得「全面訪問權限」。他表示並未利用該漏洞牟利,而是選擇對外披露,希望廠商修復問題。
大疆最初回應稱已完成修補,但阿茲杜法爾複測後表示,仍可獲取部份設備數據。隨後,大疆發布聲明,承認後端權限驗證機制存在問題,並於2月8日和10日推送兩次補丁更新。
阿茲杜法爾表示,目前仍存在包括「PIN碼繞過」在內的其它安全隱患。「PIN碼繞過」漏洞仍允許用戶在沒有所需安全PIN碼的情況下查看大疆掃地機械人的視訊串流。
事件在社交平台引發爭議。有網民質疑此事並非疏忽大意而是故意為之。
「這哪是漏洞啊,這明明是給自己開的後門無意間被用戶發現了而已。」
「大疆看來也是間諜公司,應該是有意為之。」
「這就是為甚麼不要使用中共旗下品牌的IoT設備和網絡設備,各種植入的後門和漏洞,這是普遍存在的,並不是所謂的常規系統程序錯誤或故障。如果不被發現,中共就會偷偷摸摸地監控和記錄用戶訊息,如果被發現了,就會說這是軟件或者硬件程序錯誤或故障。」
「這也說明了中共國所有的電器產品都有監控設備,包含手機,要買中共國的產品就要有心理準備。」#
-------------------
局勢持續演變
與您見證世界格局重塑
-------------------
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
