详细内容或原文请订阅后点击阅览
爱好编码员意外创建了真空机器人军队
据报道,一项业余爱好编码实验暴露了全球数千个机器人吸尘器的实时摄像头信息、麦克风和平面图。
来源:Malwarebytes Labs 博客Sammy Azdoufal 希望使用 PS5 控制器来驾驶他的扫地机器人。和所有优秀的制造者一样,他认为手动驾驶新的 DJI Romo 会很有趣。他最终接触到了一支机器人清洁工大军,这让他得以深入了解数千个家庭。
纯粹出于好玩的原因,Azdoufal 使用 Anthropic 的 Claude Code AI 编码助手对他的 Romo 的通信协议进行逆向工程。但当他的自制应用程序连接到 DJI 的服务器时,24 个国家的大约 7,000 个扫地机器人开始响应。
他可以观看他们的实时摄像头直播,通过机载麦克风收听,并生成他从未访问过的房屋的平面图。仅用一个 14 位序列号,他就精确定位了 Verge 记者的机器人,确认它正在以 80% 的电量清洁客厅,并制作了来自另一个国家的精确房屋地图。
技术故障几乎是可笑的基础。 DJI 的 MQTT 消息代理没有主题级访问控制。使用单个设备令牌进行身份验证后,您可以以明文形式查看来自其他设备的流量。
做出回应的不仅仅是吸尘器。在相同的 MQTT 基础设施上运行的 DJI Power 便携式电池站也出现了。这些是家庭备用发电机,可扩展至 22.5kWh,旨在让您的房屋在停电期间保持运行。
这与传统安全发现的不同之处在于它是如何发生的。 Azdoufal 使用 Claude Code 反编译 DJI 的移动应用程序,了解其协议,提取自己的身份验证令牌,并构建自定义客户端。
人工智能编码工具正在降低高级攻击安全的门槛。能够探索物联网 (IoT) 协议的人数变得越来越多,这进一步削弱了人们对安全的信心。
为什么很多物联网吸尘器都很糟糕
这种模式不断重复:制造商运送带有教科书安全故障的吸尘器,忽视研究人员,然后在记者发表文章时争先恐后。