程序员“误操作”发现漏洞:可远程访问全球7000台扫地机器人 ...
一名居住在西班牙巴塞罗那的法国程序员在尝试将自家扫地机器人连接至PS5手柄时,意外发现系统漏洞,理论上可访问全球约7000台设备的数据,引发对智能家居安全的关注。
32岁的Sammy Azdoufal原本只是想把自己购买的中国品牌DJI Romo扫地机器人与PlayStation手柄连接,以便像玩游戏一样操控设备。他在接受美国科技媒体The Verge采访时表示,自己在研究配套手机应用程序与机器人之间的数据通信时,发现了异常。
“这款机器人有配套应用程序,我只是想弄清楚,当我移动机器人时,应用向设备发送了什么指令。”他说。在进一步测试过程中,他意外获得了对大量其他设备数据的访问权限。
⸻
据其描述,通过这一漏洞,可以访问:
• 用户住宅的完整房屋平面图
• 设备摄像头的视频流
• 麦克风权限
• 以及通过IP地址推算出的设备大致地理位置
他表示,这一发现“令人震惊,也有些害怕”。随后,他主动联系厂商报告问题。
在未得到及时回应后,他联系了《The Verge》。媒体记者向他提供了一台测试用扫地机器人的14位序列号。通过该编号,他确实成功调取了记者住宅的详细户型图,但当时已无法再访问摄像头或麦克风,也不能远程控制设备——漏洞已在此期间被修复。
⸻
值得注意的是,Sammy表示,他并未入侵服务器,而是通过系统逻辑漏洞获取访问权限。
英国萨里大学计算机科学教授Alan Woodward指出,此类事件表明,一些厂商在追求创新速度与价格竞争力时,可能忽视了安全设计。
他在接受英国《卫报》采访时表示:“软件开发早已证明,如果优先考虑功能扩展和市场竞争,而非安全架构,漏洞几乎是不可避免的。”
⸻
涉事企业方面表示,公司在1月底内部审查中已发现“DJI Home”存在安全漏洞,并已立即修复,无需用户采取任何额外操作。
公司声明称:“我们高度重视来自安全社区的报告,并迅速进行评估。我们正在加强PIN码验证机制,并审查研究人员提出的其他问题。”同时强调,其系统采用“符合行业标准的加密技术”和“多层级安全防护机制”。
来源:Le Parisien
32岁的Sammy Azdoufal原本只是想把自己购买的中国品牌DJI Romo扫地机器人与PlayStation手柄连接,以便像玩游戏一样操控设备。他在接受美国科技媒体The Verge采访时表示,自己在研究配套手机应用程序与机器人之间的数据通信时,发现了异常。
“这款机器人有配套应用程序,我只是想弄清楚,当我移动机器人时,应用向设备发送了什么指令。”他说。在进一步测试过程中,他意外获得了对大量其他设备数据的访问权限。
⸻
据其描述,通过这一漏洞,可以访问:
• 用户住宅的完整房屋平面图
• 设备摄像头的视频流
• 麦克风权限
• 以及通过IP地址推算出的设备大致地理位置
他表示,这一发现“令人震惊,也有些害怕”。随后,他主动联系厂商报告问题。
在未得到及时回应后,他联系了《The Verge》。媒体记者向他提供了一台测试用扫地机器人的14位序列号。通过该编号,他确实成功调取了记者住宅的详细户型图,但当时已无法再访问摄像头或麦克风,也不能远程控制设备——漏洞已在此期间被修复。
⸻
值得注意的是,Sammy表示,他并未入侵服务器,而是通过系统逻辑漏洞获取访问权限。
英国萨里大学计算机科学教授Alan Woodward指出,此类事件表明,一些厂商在追求创新速度与价格竞争力时,可能忽视了安全设计。
他在接受英国《卫报》采访时表示:“软件开发早已证明,如果优先考虑功能扩展和市场竞争,而非安全架构,漏洞几乎是不可避免的。”
⸻
涉事企业方面表示,公司在1月底内部审查中已发现“DJI Home”存在安全漏洞,并已立即修复,无需用户采取任何额外操作。
公司声明称:“我们高度重视来自安全社区的报告,并迅速进行评估。我们正在加强PIN码验证机制,并审查研究人员提出的其他问题。”同时强调,其系统采用“符合行业标准的加密技术”和“多层级安全防护机制”。
来源:Le Parisien
【重要提醒】
↘↘点我免费发布一条本地便民信息↙↙(微信搜索niuyuehuarenjie加小编好友,注明,免费拉您进群聊),优先通过审核。
延伸阅读:
