【劉育良/綜合報導】中國大疆推出的掃地機器人DJI Romo,爆出嚴重安全漏洞,西班牙一名軟體工程師阿茲杜法爾(Sammy Azdoufal),想要用PS 5遊戲手把控制自家的DJI Romo時,竟然獲得了全球約7000台DJI Romo的控制權。
據科技媒體《The Verge》報導,阿茲杜法爾覺得如果能用PS 5手把控制DJI Romo的話應該很有趣,於是用自主開發的遙控應用程式與大疆伺服器連線,想不到回應他的不只是自家的掃地機器人,而是全球約7000台DJI Romo都把他當成主人。
阿茲杜法爾獲得這數千台掃地機器人的各種權限,除了遠端控制它們外,甚至可以透過即時攝影機觀看運作情況,也能看到它們繪製出每間房子的平面圖,還能利用掃地機器人的IP位址來追蹤出它們所在的大致地點。
阿茲杜法爾也向《The Verge》記者進行實際展示,9分鐘內就獲取了來自24個國家的6700台DJI Romo,收集到超過10萬則設備訊息,內容包括了設備編號、清潔房間、所見場景、行駛距離、充電時間等等。
「我沒有違反任何規則,沒有繞過任何限制,沒有暴力破解,什麼都沒有。」阿茲杜法爾指出,自己只是提取了自家DJI Romo私人Token,也就是向大疆伺服器索取擁有存取自身資料權限的金鑰,結果伺服器給了他其他幾千名使用者的資料。
後來阿茲杜法爾主動向大疆通報了這個安全漏洞,目前問題已經被修正。
#大疆本身能不能控制生產的所有產品?中國政府有沒有動機要求大疆交出控制權?
個人積分:12998分
文章編號:92845787
個人積分:15373分
文章編號:92846267
吃飽太閒!才買有鏡頭的掃地機器人![笑到噴淚]
配備鏡頭的掃地機器人可以用視覺指揮,例如要掃地機器人清掃你所在區域。
個人積分:32622分
文章編號:92846335
個人積分:167分
文章編號:92846341
bbvvccjojotv 這傢伙寫個APP分析封包就不小心發現自己的帳號擁有大疆伺服器的最高權限,PS5手把還沒派上用場。理論上是大彊忘了設權限。至於分析封包要進入大疆伺服器嗎?這就不清楚了。
https://www.4gamers.com.tw/news/detail/77252/dji-romo-gaming-controller-ps5-dualsense-hack-vulnerability-remote-control-camera-access
個人積分:3622分
文章編號:92850003
輪子說7000,豬油說6700,看你想信那個
這就像中國領土的面積一樣,有多種定義,所以是國家機密
