引述包括 CNN 與科技媒體 The Verge 報導,西班牙一男子在將 Dji Romo 吸塵機械人連接到 PS5 手掣遙控器時意外發現,這款新推出的吸塵機械人竟存在嚴重安全漏洞,讓他能實時訪問來橫跨 24 個國家近 7,000 個家庭中的攝像頭、麥克風和房屋平面圖數據,事件再度引起有關 IP Cam 及吸塵機械人產品的系統及私隱安全疑慮。
Sammy Azdoufal 是一名軟件工程師,他原本想利用 PS5 遊戲手掣來控制他的 DJI Romo。他在人工智能助理的協助下,對 DJI Romo 與 DJI 遠端雲端伺服器的通訊方式進行了逆向工程。結果 Sammy 使用自創的遙控應用程式與 DJI 的伺服器連接時,不僅是他家中的 DJI Domo 對他作出回應,而是同時取得全球近 7,000 台正在使用的 DJI Domo 的存取權限。Sammy 可以通過吸塵機械人的即時攝影機畫面,進行檢視和監聽,還能從這些設備獲取超過 10 萬個資訊。他還可以利用任何掃地機的 IP 地址,來確定該機器大概位置。也就是說,這個後端安全漏洞,可以讓已連網的吸塵機械人變成監控設備,在用戶不知情的情況下進行監視。
Sammy 將有關發現向 The Verge 報告,而網站記者亦將自己家中的 DJI Romo 吸塵機械人的序號,提供給 Sammy 作測試。結果不到幾分鐘,Sammy 就回報看到該台 DJI Romo 正在清潔 The Verge 記者的客廳,電量還剩 80%,並傳回了記者家中的房屋平面圖等等。
根據 Sammy 和 The Verge 記者的調查指出,這個漏洞是一個低級的技術漏洞,用來接連機器人跟 DJI 雲端系統的 MQTT 訊息代理伺服器,並沒有設定主次權限控制。只要通過一台設備的驗證,就能查看其他設備的數據傳遞。這意味著任何人或機構都能透過相關漏洞或後門,肆意存取其他用戶的個人影像、聲音檔、用戶位置及地理數據等,情況相當嚴重。
事件被揭發後,據知 DJI 方面聲稱已經立即修復漏洞。不過根據 Sammy 及 The Verge 的後續測試,發現仍然可以獲得數千台 DJI Domo 的即時數據。後來 DJI 終承認該款產品存在後端權限驗證問題,並於 2 月 8 日和 2 月 10 日發布了兩個更新檔案。但 Sammy 仍指出,有關的漏洞仍未妥善修復,包括只用一個安全 PIN 碼繞過系統,允許用戶在沒有所需安全 PIN 碼下,查看其他 DJI Romo 的視訊串流。
近年不少家庭都會購買 IP Cam 及吸塵機械人,希望能提升家居保安或幫忙打掃屋企。不過過去也有不少安全報告都指出,市面上不少 IP Cam 及吸塵機械人產品都存在嚴重安全漏洞,例如用戶的個人及家居的地理數據儲存欠缺妥善管理,甚至可容許用戶接觸到其他用戶的攝像頭檔案,也有一些 IP Cam 品牌,甚至會將用戶的數據暗中發送到國外不知明伺服器,引發私隱安全的疑慮。
