DJI 先前推出首部吸塵機器人 Romo,最近一名西班牙使用者 Sammy Azdoufal 打算用 PS5 手把控制吸塵機器人,卻意外發現嚴重安全漏洞,令他可遠距存取全球約 7,000 部 DJI Romo 的即時鏡頭畫面及控制權限。事件令外界憂慮智慧家居裝置的隱私保護,特別是配備鏡頭和麥克風的掃地機器人。
無意中發現漏洞,可存取全球裝置
The Verge 報導指出,Sammy Azdoufal 只是想開發一個應用程式,讓自己可用 PlayStation 5 手把控制 DJI Romo,純粹覺得有趣。當他自製的遠距控制應用程式開始與 DJI 伺服器通訊時,卻發現不只連接到自己的吸塵機器人,而是約 7,000 部分布全球各地的 DJI Romo 都開始回應他的指令。
Sammy Azdoufal 表示可遠距控制這些裝置,並透過即時鏡頭畫面觀看與收聽;他與朋友測試後證實功能確實可用。他甚至可觀看機器人如何繪製房間地圖,生成完整的 2D 平面圖,並透過任何機器人的 IP 位址推測其大概位置。他形容自己的裝置只是「裝置海洋」中的一部分。
媒體實測證實,未經授權存取評測機
The Verge 於 2 月 10 日(週二)進行實測時,親眼目睹安全漏洞的嚴重性。數千部機器人陸續回應,每部每 3 秒向伺服器傳送一次 MQTT 資料封包,內容包括序號、正在清潔的房間、已見過的物件、行走距離、何時返回充電座及遇到的障礙物。
測試開始 9 分鐘後,Sammy Azdoufal 的筆記型電腦已記錄 6,700 部 DJI 裝置,分布 24 個不同國家,並蒐集超過 100,000 則訊息。若加上同樣連接這些伺服器的 DJI Power 行動電源,Sammy Azdoufal 可存取的裝置數量超過 10,000 部。
The Verge 要求同事 Thomas Ricker 提供正在評測的 DJI Romo 序號,僅憑這 14 位數字,Sammy Azdoufal 就能找到該機器人,並正確看到它正在清潔客廳且電池剩餘 80%。幾分鐘內,在另一個國家的筆記型電腦上,就看到機器人生成並傳送一份準確的平面圖,當中包括同事家中每個房間的正確形狀和大小。
DJI 回應滯後,聲稱已修復,實際仍有漏洞
Sammy Azdoufal 聲稱,他能做到這一切並非入侵 DJI 伺服器,而是提取自己 DJI Romo 的私人 Token,也就是告訴 DJI 伺服器「擁有存取自身資料權限」的金鑰,但伺服器卻同時給予他數千名其他使用者的資料。他展示可連接 DJI 的預生產伺服器,以及美國、中國和歐盟的正式伺服器。
DJI 發言人 Daisy Kong 於 2 月 10 日向 The Verge 提供聲明,表示 DJI 可確認問題已於上週解決,並在公開披露前已開始進行修補。但聲明發出約半小時後,Sammy Azdoufal 仍向媒體展示數千部機器人持續回應他的指令,當中包括評測機。
到了週二,Sammy Azdoufal 已無法遠距操控 The Verge 的 DJI Romo,也無法查看其鏡頭或麥克風,因為 DJI 在 Sammy Azdoufal 和 The Verge 告知漏洞後已限制此類存取。到了週三早上,Sammy Azdoufal 的掃描程式已無法存取任何機器人,顯示 DJI 已堵住漏洞。
業界普遍存在安全問題
智慧家居裝置的安全問題並非 DJI 獨有。2024 年,駭客入侵 Ecovacs 吸塵機器人,用來追逐寵物並喊出種族歧視言論。韓國政府機構在 2025 年的報告指出,Dreame X50 Ultra 存在漏洞,可讓駭客即時查看鏡頭畫面;同時,Ecovacs 和 Narwal 的機器人吸塵機也可能讓駭客查看並竊取裝置內的相片。相較之下,韓國本土品牌 Samsung 和 LG 的吸塵機獲得較高評價,而 Roborock 的表現亦算不錯。
早在 2018 年,網路安全公司 Avast 已發現超過 49,000 部 MQTT 伺服器因設定錯誤而暴露於公開網路上,其中超過 32,000 部甚至沒有密碼保護。Avast 當時表示,MQTT 協定本身其實安全,主要風險來自使用者在實作與設定上的錯誤。
DJI 承認後端驗證問題
DJI 在新聲明中承認存在後端權限驗證問題,理論上可讓駭客查看吸塵機的即時影片,並承認在 The Verge 確認問題仍然存在後才完全修補漏洞。DJI 表示,於 1 月底透過內部審查發現漏洞並立即開始修補。問題透過 2 次更新解決,首個修補程式於 2 月 8 日部署,後續更新於 2 月 10 日完成;修補會自動部署,使用者無需採取行動。
DJI 指漏洞涉及影響裝置與伺服器之間 MQTT 通訊的後端權限驗證問題,雖然理論上存在未經授權存取 Romo 裝置即時影片的潛在風險,但調查確認實際發生的情況極為罕見。DJI 表示,幾乎所有已辨識活動都與獨立安全研究人員測試自己的裝置、用以撰寫報告有關,只有少數潛在例外。
DJI 強調 Romo 裝置與伺服器之間的通訊並非明文傳輸,而是一直使用 TLS 加密。與 Romo 裝置相關的資料儲存在美國 AWS 雲端基礎設施上。
專家質疑修復是否足夠
Sammy Azdoufal 表示,即使到現在 DJI 仍未修補他發現的所有漏洞。其中一個漏洞是可在不需要安全 PIN 碼的情況下查看自己的 DJI Romo 影片串流;另一個漏洞嚴重到他不願描述,直到 DJI 有更多時間修補。
安全研究人員 Kevin Finisterre 向 The Verge 表示,即使 Romo 傳送加密資料到美國伺服器,若伺服器內任何人都能輕易讀取,仍不夠安全。他指出,伺服器就算位於美國,也無法阻止中國 DJI 員工存取,從 Sammy Azdoufal 身在巴塞隆納卻能看到完全不同地區的裝置一事即可證明。
Sammy Azdoufal 解釋,一旦成為 MQTT 訊息代理的已認證用戶端,若沒有適當的主題級存取控制(ACL),使用者可訂閱萬用字元主題,並在應用層以明文形式看到所有裝置的所有訊息。TLS 對此無能為力,因為它只保護通道,而非通道內其他已授權參與者能看到的內容。
研究者回應披露爭議
面對有人批評他未給 DJI 足夠時間解決問題就公開漏洞,Sammy Azdoufal 指出,他沒有入侵任何東西或暴露敏感資料,自己也不是安全專業人員。他表示,只是在嘗試用 PS5 手把控制機器人時,在社群平台即時發布所有發生的事。
Sammy Azdoufal 坦言自己不遵守規則,並指出人們堅持漏洞獎勵計畫是為了錢,但他根本不在乎、只想解決問題。他認為遵守規則反而可能讓這次外洩持續更久。他也抱怨,不相信 DJI 在 1 月真的自行發現這些問題,並對對方只在社群平台 X 的私訊中機械式回應、卻不回覆電子郵件感到不滿。
(本文由 Unwire HK 授權轉載;首圖來源:Romo)
科技新報粉絲團
加入好友
訂閱免費電子報
