上月中,開發者 Sammy Azdoufal 嘗試用 PS5 手掣控制自己的 DJI Romo 掃地機械人,卻意外發現伺服器後端配置錯誤的嚴重漏洞,令全球近 7,000 部 Romo 向他匯報,更可存取其他用戶的即時影像、咪高峰音訊以及家居平面圖。而事後 DJI 除了聲樂修復漏洞,亦向發現流動的開發者支付謝禮。
賞金確認與修復進度
DJI 確認向 Sammy Azdoufal 支付 3 萬美元(約港幣 23.4 萬元)賞金。雖然 DJI 未有公開指明這筆賞金對應哪項發現,Azdoufal 則透過電郵向 The Verge 分享相關通知。DJI 發言人 Daisy Kong 表示允許用戶無需 PIN 碼即可觀看 Romo 影片串流的漏洞已於 2 月下旬修復。至於另一個嚴重程度更高但未有公開的漏洞,DJI 則表示正進行整個系統升級,預計一個月內全面完成。
DJI 公開聲明與認證存疑
DJI 同日在官方網誌發文聲稱漏洞已全面解決。然而有報導指出實際上仍有漏洞待修補,雙方說法存在矛盾。DJI 在文中強調 Romo 已取得 ETSI EN 303 645、EU RED (EN 18031) 及 UL Solutions Diamond IoT Security 認證。這令業界質疑若一名普通用戶僅利用 Claude Code 自製程式便能存取數千部裝置,這些認證的實際把關作用究竟有多大。
事件核心技術問題
漏洞根源在於 DJI 的 MQTT 訊息代理伺服器欠缺主題層級存取控制(ACL)。任何通過驗證的客戶端均可訂閱萬用字元主題,以明文讀取網絡上所有裝置的資料流。Sammy Azdoufal 僅使用自己的裝置驗證令牌,在 9 分鐘內便收集超過 100,000 條訊息,並可從巴塞隆拿遙距取得其他用戶的家居平面圖。DJI Power 流動備用電源站亦使用相同後端基礎架構,同樣出現在 Azdoufal 的掃描結果中。DJI 已於 2 月 8 日及 10 日分兩階段推送自動更新以修補萬用字元存取問題,用戶無需手動操作。
研究員社群的啟示
DJI 表示將盡快推出全新方式讓安全研究員與 DJI 合作,顯示事件促使 DJI 重新審視其安全研究員合作機制。安全研究員 Kevin Finisterre 曾於 2017 年遭 DJI 拒絕支付賞金,這令外界當初對 DJI 能否善待 Sammy Azdoufal 持保留態度。如今 3 萬美元(約港幣 23.4 萬元)賞金的確認,為此次事件畫上較正面的句號。
來源:The Verge
分享到 :
最新影片
