男子意外获得对7000台扫地机器人的控制权

Source: Slashdot

概览

一位软件工程师尝试使用电子游戏手柄来操控他的机器人吸尘器， Popular Science 报道 — 但结果却“意外窥见了成千上万人的家”。

发现

在构建自己的遥控应用时，Sammy Azdoufal 使用 AI 编码助手逆向工程机器人与 DJI 远程云服务器的通信方式。他发现，同样的凭证不仅可以查看和控制自己的设备，还能访问：

• 实时摄像头画面
• 麦克风音频
• 地图和状态数据

这些信息来自近 7,000 台分布在 24 个国家 的其他吸尘器。

潜在影响

后端安全漏洞实际上暴露了一支互联网连接的机器人军团，如果落入不法之手，可能被用作监视工具，而车主根本不知情。Azdoufal 选择不利用该缺陷。他将发现报告给 The Verge，后者随即联系了 DJI — 查看 Verge 文章。

Azdoufal 还指出，他可以编制机器人所在住宅的二维平面图，并且快速查看机器人的 IP 地址即可大致定位它们的位置。

DJI 的回应

DJI 向 Popular Science 表示，该问题已通过 两次更新 解决，首次补丁于 2 月 8 日 部署，随后在 2 月 10 日 完成了后续更新。