详细内容或原文请订阅后点击阅览
一名业余爱好者使用 PlayStation 控制器意外侵入 7000 个 DJI 扫地机器人
该事件引发了有关“智能设备”安全的重大问题。
来源:ZME科学当 Sammy Azdoufal 拿到 DJI Romo 吸尘器时,他想用它来一点乐趣。他不只是使用应用程序,而是想使用 PlayStation 5 控制器来驾驶这台价值 2,000 美元的机器,就像视频游戏中的汽车一样。
他开始用人工智能研究代码,并试图对他的吸尘器用来与云对话的秘密数字问候语进行逆向工程。当连接最终接通时,阿兹杜法尔突然意识到他可以看到数千个房间。
他访问过 24 个国家/地区的 6,700 个其他真空吸尘器。他看到了它们的电池电量、序列号和地图。通过更多的按键操作,他意识到他可以利用实时摄像头并通过麦克风收听。 “Romo”是一种小型梗犬大小的机器,专为清洁地板而设计,无意中变成了一支由 7,000 名移动间谍组成的车队。它们的主人并不知道它们被监视。
哎呀
这是一个典型的安全漏洞。从本质上讲,旨在验证他对单个设备的所有权的安全令牌充当了大疆整个机队的万能钥匙。
当您购买现代自主设备时,您购买的不仅仅是硬件。您正在购买与服务器场的持久连接,该服务器场通常位于数千英里之外。像 DJI Romo 这样的现代机器人使用一种称为 MQTT(消息队列遥测传输)的协议。设备每隔几秒向服务器发送数据包。这些数据包包含诸如“我被困在地毯上”、“我的电量只有 40%”或“这是主卧室的 2D 地图”之类的信息。
显然,存在安全风险。在安全系统中,服务器会检查您的“安全令牌”,并且只允许您查看属于您的特定设备的数据。但当 Azdoufal 出示他的代币时,DJI 服务器将主账本交给了他。这就像使用酒店房间钥匙可以访问大楼内的所有物品。
疯狂的突破
×
谢谢!还有一件事...
请检查您的收件箱并确认您的订阅。
打地鼠游戏
那么,我们该何去何从?