用户意外控制6700台扫地机器人，安全漏洞暴露用户隐私

美国 - 艾赫巴里通讯社

用户意外控制6700台扫地机器人，安全漏洞暴露用户隐私

智能家居设备的潜在安全漏洞再次引发担忧。近日，DJI扫地机器人系列产品被曝出大规模安全漏洞，导致全球数千台设备的用户敏感数据被未经授权访问。这一漏洞是由一名技术爱好者兼应用开发者无意中发现的。他在尝试使用PlayStation控制器操作自己的设备时，意外获得了对大量扫地机器人的控制权，进而暴露了用户家庭的楼层平面图和实时视频画面。

事件始于AI策略师萨米·阿杜法尔（Sammy Adoufal）。他决定逆向工程他的DJI扫地机器人的通信协议，目的是开发一个能让他用PlayStation控制器操作设备的应用程序。然而，实验结果远远超出了他的预期。他不仅获得了对自己设备的操作权限，还意外地获得了访问和控制全球约6700台DJI扫地机器人的能力。

阿杜法尔向媒体The Verge澄清，他并未进行任何恶意黑客行为。他所做的只是获取了他自己扫地机器人的私有身份验证令牌（token）。他表示：“我没有违反任何规定，没有绕过任何安全措施，没有破解，没有使用暴力破解，什么都没有。”这个本应只属于他自己设备的令牌，却意外地赋予了他访问美国、欧洲和中国等地实时服务器的权限。这一发现揭示了一个可能导致严重隐私泄露的安全疏忽。

幸运的是，阿杜法尔选择了负责任的行动。他没有滥用这一漏洞，而是迅速将问题报告给了DJI。该公司承认了报告，并随后发布了数次更新来修补这一安全漏洞。这些更新旨在无需用户进行任何操作即可完成，以确保快速解决问题。尽管如此，阿杜法尔指出，仍存在一些残留的安全隐患。他提到，设备仍然可以在没有安全PIN码的情况下进行视频流传输，并且至少还有另一项因其严重性而未披露的问题。

阿杜法尔强调，问题的核心不仅在于加密技术是否薄弱。他透露，扫地机器人传输到服务器的数据是以纯文本（plain text）形式存储的。这意味着任何能够访问服务器的人都可以轻松读取和理解这些数据，使其极易受到攻击。这一发现表明，除了通信加密之外，在数据处理和存储实践方面存在根本性缺陷。

这并非智能扫地机器人处理用户数据不当的孤例。去年，一位工程师发现他的iLife A11智能扫地机器人持续向制造商发送日志和遥测数据。当他试图通过自己的网络阻止这些数据传输时，制造商发送了一个“杀死代码”（kill code）远程禁用该设备，实际上使其报废。然而，这位工程师凭借自己的技术专长，成功地恢复了扫地机器人并使其完全离线运行，证明了云连接并非始终是设备运行所必需的。

随着越来越多的消费者为了便利而采用物联网（IoT）设备，关于数据隐私和安全的担忧日益加剧。扫地机器人、智能摄像头和联网家电等设备提供了无与伦比的便利性，但同时也为潜在的恶意利用创造了新的途径。DJI扫地机器人的事件是一个严峻的提醒，即使是非恶意的技术实验也可能意外地导致安全漏洞的出现。如果普通人能偶然发现数千人的私人数据，那么有组织的恶意攻击可能造成的损害将是指数级增长的。

这一事件凸显了技术制造商在设计和开发物联网产品时，必须将安全和隐私放在首位的迫切需求。强大的安全测试、安全的数据处理实践和强大的加密至关重要。用户也必须保持警惕，确保他们的设备及时更新，家庭网络得到安全保护，以减轻与连接技术相关的潜在风险。

艾赫巴里通讯社