在一名研究人员报告与 DJI 云服务通信的设备异常广泛的访问权限后,DJI 表示,它已经修复了影响 Romo 扫地机器人的安全问题。研究人员 Sammy Azdoufal 表示,他在为自己的 Romo 构建远程控制应用程序时发现了这个问题,然后当他的应用程序连接到 DJI 基础设施时,发现数千台设备做出响应。
根据 DJI 的说法,根本原因是与设备和服务器之间基于 MQTT 的通信相关的后端权限验证问题。该公司在一份声明中表示,修复工作分两次更新进行,初步修复于 2 月 8 日推出,后续修复于 2 月 10 日完成。DJI 表示修复是自动交付的,无需用户操作。
阿兹杜法尔声称,他可以观察设备遥测,例如标识符和状态信息,并且理论上,在某些情况下,访问路径可能会被滥用以到达实时视频源。大疆创新表示,调查发现可疑活动很大程度上与独立研究人员测试自己的设备有关,但补充说没有证据表明存在更广泛的影响。
该事件凸显了包括摄像头和麦克风在内的联网家庭设备的隐私风险。即使数据在传输过程中被加密,访问控制和服务器端权限也会决定经过身份验证的客户端可以请求和查看的内容。 DJI 的公共安全资源(包括漏洞报告渠道)可通过DJI 安全响应中心获取。
大疆创新一直因安全相关问题而在多个市场受到审查,而 Romo 事件可能会加剧这一争论。有关 DJI 的更多报道,请参阅我们之前关于该公司运动相机系列产品图像泄露的报告:DJI Osmo Nano 图像泄露,展示模块化设计。
