上周情人节的时候,IT之家给大家爆了个料,说是有个网友想用PlayStation手柄来遥控自家的大疆扫地机器人,结果一不小心就闯进了个大陷阱,发现约有7000台设备都暴露在外头。这人原本只是想把罗摩扫地机(DJI Romo)连上服务器试试身手,结果发现大疆服务器太实诚,不光理他一个,连带着全世界的7000台其他设备控制权都给卖了。人家演示的时候随手敲个序列号,就能把对方设备的剩余80%电量、在哪儿擦地还有整个房间的户型图给扒得一清二楚。 虽然这个漏洞挺吓人,但现在总算有点进展了。大疆那边的发言人Daisy Kong已经发话了,确认那个不用PIN码就能偷看人视频画面的BUG早在2月底就给修好了。至于那位一直没透露姓名的研究员阿兹杜法尔(Sammy Azdoufal),也算是实打实地收了3万美元(折合20.8万人民币)的赏金。不过他说自己只是个度假租赁公司的AI战略负责人,手里拿着Claude Code搞逆向分析时才发现了个天大的问题:大疆的MQTT服务器居然每三秒就把序列号、清洁区域、剩余电量这些东西一股脑地明晃晃发出去。 大疆在声明里表示已经在升级系统了,预计一个月内能把所有补丁打完。虽然官方说已经“完全解决”了风险高的漏洞,但其实对The Verge私下的说法还是有点心虚的——全面修复还得看运气,可能真得耗上一个月。 关于数据安全这块儿,争议还是挺大的。阿兹杜法尔说虽然罗摩和服务器之间用的是TLS加密传输的通道(没错就是那条叫IP的高速公路),而且欧洲的设备数据都存放在美国的AWS云里;但一旦你登上了MQTT服务器平台(这也是条叫ACL的安全墙),只要没设好访问控制(也就是ACL),你就能在应用层把所有人的明文消息都给偷看了。TLS这东西对这种事儿根本束手无策——它只管路上的通道顺不顺路,不管车上拉的货物有没有丢。 至于那个严重的漏洞细节他没敢多讲,怕太早暴露会影响大疆的修复进度。面对外界说他没留足漏洞披露时间的质疑,阿兹杜法尔倒也挺洒脱:“我压根不是专业的安全研究员,也没入侵谁的系统或者泄露敏感数据。”他还特别有意思地吐槽说:“是的,我确实没遵守行业规则;不过人们为了钱才遵守漏洞赏金计划嘛。我TM根本不在乎这些条条框框,我只想让他们快点把这破问题修了!”