綜合外媒報導,智能家居安全再現嚴重隱私漏洞。一名軟體工程師早前嘗試以 PlayStation 5手制操控掃地機器人時,意外發現重大保安缺陷,竟然可以跨權限存取全球 24 個國家、近 7,000 台設備的即時影像與住家資料,事件引發外界對物聯網(IoT)保安的高度關注。
工程師 Sammy Azdoufal 原本計畫為其新購入的 DJI Romo 掃地機器人開發自訂應用程式,目標是透過 PS5 控制器進行遠端操控。然而,他在研究設備與雲端伺服器的通訊方式時,利用 AI 程式助理進行逆向分析,驚覺用於登入個人設備的驗證憑證(Token),竟可直接繞過權限控管。由於伺服器端出現嚴重邏輯錯誤,系統在驗證單一 Token 後,竟會回傳大量其他用戶的裝置資料,而非僅限於單一機器。
透過此漏洞,Azdoufal 發現自己不但能遠端移動他人的掃地機器人,更可直接開啟即時攝影機畫面、啟動麥克風監聽,甚至下載住戶的家中平面地圖。他向媒體演示時,僅憑序列號便成功鎖定一名測試記者的機器,即時查閱其電池電量並遠端生成該記者的住家地圖,等同將掃地機器人變身為「移動式間諜」。Azdoufal 強調,過程並無涉及專業黑客入侵手段,純粹是系統保安過於薄弱。大疆(DJI)隨後回應傳媒查詢表示,公司在 1 月底的內部審查中已察覺該影響「DJI Home」App 的漏洞,並強調已立即啟動修補措施,目前的更新版本已解決相關問題。