这可能是近期 IoT 安全领域最离谱的一次“乌龙球”。一名软件工程师在不经意间开启了“上帝模式”,直接接管了遍布全球 24 个国家的约 7000 台 DJI 扫地机器人。安全研究员 Sammy Azdoufal 最初并不是想发动什么“智械危机”,他只是想用 PS5 手柄来操控他那台贵得离谱的新款 DJI Romo 扫地机——毕竟,谁能拒绝这种极客式的浪漫呢?
为了实现这个梦想,Azdoufal 求助于 AI 编程助手,试图对机器人的通信协议进行逆向工程。在成功提取出自己设备的身份验证令牌(token)并连接到 DJI 服务器后,意想不到的一幕发生了:回应他的不是家里那台孤零零的“清洁小兵”,而是一支由 7000 台机器人组成的“大军”。这个漏洞让他瞬间获得了数千名毫无防备的用户家中的实时摄像头画面、麦克风音频,甚至还有精确到墙角的 2D 户型图和实时设备状态。
问题的根源简单得近乎荒唐,却又极其致命。DJI 的后端服务器虽然验证了用户的令牌,但显然漏掉了最关键的一步:核实该用户是否真的拥有他正试图访问的那台设备。这就像是你拿着自家的钥匙,却发现它能捅开全球任何一扇大门。Azdoufal 强调,他“没有违反任何规则,没有绕过任何机制,也没有进行暴力破解”,他仅仅是推开了一扇本就敞开的数字大门。
为什么这很重要?
这次事件堪称现代 IoT 设备安全隐患的教科书案例。当这些集成了摄像头和麦克风、能够深入家庭私密空间的设备,其安全性却脆弱得像一层窗户纸时,后果不堪设想。尽管这次大规模隐私泄露的风险极高,但所幸 Azdoufal 恪守了白帽黑客的职业操守,及时上报了这一漏洞。
值得称赞的是,DJI 的反应速度快得惊人。在收到通知后,该公司据称在两天内就通过服务器端修复了这一关键漏洞,用户无需进行任何操作。虽然这种基础层面的逻辑错误究竟是如何混入生产环境的仍有待追问,但这次闪电般的修复避免了一场潜在的公关灾难。这也给所有 IoT 厂商敲响了警钟:锁好门只是第一步,你还得确保自家的钥匙不会顺便把全小区的门都给开了。
