DJI 確認將在數周內修復旗下首款掃地機械人 Romo 另一個高危安全資訊漏洞,該漏洞目前因風險過高而暫未公開披露。早前有安全研究員發現 DJI Romo 通訊系統缺乏存取管理,讓他得以遠端連接全球超過 7,000 部機械人,觀看家居即時鏡頭畫面並取得完整平面圖。
事件起源於西班牙工程師 Sammy Azdoufal,他最初只想用 PS5 手掣遙控個人 DJI Romo,於是自行開發應用程式連接 DJI 伺服器。連接後系統竟讓他存取全球約 7,000 部 Romo 資料,包括即時鏡頭畫面、麥克風音訊、家居 2D 平面圖及地理位置。他在巴塞隆拿僅用 9 分鐘便收集超過 100,000 條訊息。
漏洞根源在於 DJI MQTT 訊息代理器(用於裝置與雲端伺服器之間即時通訊)缺乏主題層級存取控制,任何經認證客戶端均可訂閱萬用字元主題,讀取網絡上所有裝置資料。Sammy Azdoufal 說明,他只提取了自己 Romo 認證令牌,連接 MQTT 代理器後便意外取得所有裝置存取權,強調自己沒有違反任何規則,亦沒有破解或暴力嘗試任何東西。
DJI 表示其內部安全審查在 1 月下旬已發現漏洞,並於 2 月 8 日及 10 日推出伺服器端更新,用戶毋需任何操作。然而 The Verge 報道指,DJI 發言人 Daisy Kong 在 Sammy Azdoufal 示範數千部 Romo 仍處於可被存取狀態前約半小時,已聲稱漏洞已修復。DJI 其後承認,首個修補程式並未完全覆蓋所有伺服器節點,需要第二次更新才能徹底解決問題。
Sammy Azdoufal 向 The Verge 透露,他在 2 月修補之外還發現最少兩個漏洞:其一是讓用戶毋需輸入安全 PIN 碼即可觀看自己 Romo 即時影像;另一個則嚴重到 The Verge 同意暫不披露細節,直至 DJI 完成修復。DJI 確認將在數周內處理該未公開漏洞,並表示若屆時未有修復,The Verge 將作進一步跟進。
對於一款配備攝影機及麥克風、並能自動繪製家居平面圖的裝置,數周內修復高危漏洞的承諾被外界批評為時間過長。DJI 指所有裝置與伺服器之間通訊均以加密方式傳輸,數據儲存於美國 AWS 雲端基礎設施,公司亦設有長期運作的漏洞獎勵計劃。
資料來源:The Verge