一名西班牙軟體工程師近日向紐約科技媒體 The Verge 報告,他意外遠端控制了全球約 7,000 台智慧吸塵器,並因此揭露智慧家電普遍存在的重大安全漏洞,根據一名網路安全專家表示。
《The Verge》報導,事情起因於 Sammy Azdoufal 想要破解他新買的 DJI Romo 吸塵器,讓它能用 PlayStation 5 的手把來操控。
然而,他很快發現,當他的自製遙控應用程式開始與 DJI 的伺服器溝通時,「回應的並不只有一台吸塵器。大約 7,000 台遍布全球的吸塵器,都開始把 Azdoufal 當成它們的『老闆』。」
能看、能聽、能定位:吸塵器變成監控工具
Azdoufal 發現,他能透過吸塵器的即時鏡頭觀看與收音,並蒐集超過 10 萬則來自這些設備的訊息。他甚至能利用每台機器的 IP 位址推算其大致位置。
Azdoufal 表示,他並非刻意入侵其他人的設備,事發後立即聯繫 The Verge。
為了驗證,該網站記者將自己家中的大疆DJI Romo掃地機器人的序號,提供給阿茲杜法爾。幾分鐘之後,阿茲杜法爾就看到這台掃地機器人正在清潔記者的客廳,電量還剩80%,並同步傳回了記者的房屋平面圖。
這個漏洞是一個非常低級的技術問題。大疆的MQTT訊息代理伺服器(用來連機器人跟雲端),完全沒分主題權限控制。只要用一台設備的令牌驗證,就能以明文形式查看其他設備的數據傳遞。
阿茲杜法爾表示,他並未入侵大疆的伺服器,也認為自己沒有違反任何規則。他沒有利用漏洞牟利,而是選擇公開此事。
大疆DJI 隨後回應,並有其他來源證實,該漏洞已被修補。
這一問題引起對智能居家設備的警覺。
智慧家電越來越多,風險也越來越大
除了吸塵器,研究顯示駭客也曾入侵:
- 智慧燈光
- 門鎖
- 監視器
- 嬰兒監視器
- 暖氣系統
智慧家電讓生活更方便,但也讓駭客更容易入侵。
專家建議
- 廠商應要求使用者在首次使用時設定自己的密碼
- 開發者必須更重視安全性
- 消費者購買前要想清楚: 「方便」是否值得冒「隱私風險」?
