有没有用DJI扫地机器人的?赶紧升级吧
大疆DJI扫地机器人漏洞致全球设备数据泄露。
1. 关键信息
- 漏洞由Sammy Azdoufal发现,利用PS5手柄与Claude Code逆向通信协议,泄露6700台Romo的摄像头、平面图及位置(#1)。
- 私有令牌被误判为通用权限,14位序列号即可查看实时画面与清洁详情(#1、#7)。
- DJI通过两次自动更新修复,无需用户操作(#1、#8)。
2. 羊毛/优惠信息
无
3. 最新动态
- 1月漏洞披露,2月8日与10日完成补丁部署(#1)。
4. 争议或不同意见
- 用户责任与厂商责任之争(#4、#5);第一代产品劝退(#6、#9、#10);非安全从业者意外发现(#11)。
5. 行动建议
检查设备是否完成自动更新即可。
2月24日,据国内媒体报道,一名DIY爱好者用PS5游戏手柄控制自家大疆(DJI)Romo扫地机器人时,意外触发严重安全漏洞,导致全球约6700台该型号机器人遭未授权访问,可被查看实时摄像头画面、获取家庭2D楼层平面图,甚至定位设备位置。 发现该漏洞的是萨米·阿兹杜法尔(Sammy Azdoufal)。他向媒体表示,自己初衷只是觉得用PS5手柄控制新入手的大疆Romo很有趣,便用Claude Code软件逆向工程了机器人与大疆服务器的通信协议,自制了一款远程控制应用。 令人意外的是,这款应用连接服务器后出现权限失控,他仅提取了自家设备的私有令牌,便获得了全球约7000台Romo的响应。 The Verge记者现场见证了漏洞演示。9分钟内,阿兹杜法尔的电脑就记录了24个国家的6700台大疆设备,收集到10万余条设备消息,涵盖设备序列号、清洁房间、所见场景、行驶距离、充电时间及遇到的障碍物等。 仅凭同事托马斯·里克(Thomas Ricker)提供的14位设备序列号,便能精准查看机器人正在清洁客厅、剩余80%电量的状态,还能获取同事家的精准楼层平面图。 此外,他还能绕过自身机器人的安全PIN码查看实时画面,甚至将一款只读版应用分享给法国一名IT咨询公司CTO贡扎格·丹布里库尔(Gonzague Dambricourt),对方在未配对设备的情况下,也能远程查看自家Romo的摄像头画面。 阿兹杜法尔强调,自己并未入侵大疆服务器,“我没有违反任何规则,没有破解、暴力破解任何系统”,只是他提取的自家设备私有令牌,本应用于验证自身设备访问权限的密钥,被大疆服务器误判为通用权限,进而泄露了全球数千台设备的数据。 大疆方面回应:大疆(DJI)于1月下旬通过内部审查发现了一个影响大疆 DJI Home 的漏洞,并立即启动修复工作。该问题通过两次更新得到解决,首次补丁于2月8日部署,后续更新于2月10日完成。修复程序已自动部署,无需用户进行任何操作。
【引用自 ipmai】:
修复程序已自动部署,无需用户进行任何操作
起码读一读吧
用Claude Code逆向出来的漏洞,这算AI辅助渗透测试了吧 DJI这token权限管理也太随意了,一个私有令牌能看全球设备
如果这个人拿这个漏洞干了什么事,是怪DJI的产品问题,还是怪这个人主动使用漏洞呢
用户怪dji, dji怪个人
dji第一代不能买
这种自动升级从来都是大量不成功的案例,楼主提醒大家去检查一下是否升级成功没有任何问题。
不要见到什么都要杠一下。
要知道,这世界上你不能理解的事情多了,毕竟
【引用自 ipmai】:
他提取的自家设备私有令牌,本应用于验证自身设备访问权限的密钥,被大疆服务器误判为通用权限,进而泄露了全球数千台设备的数据
在爆出来之前,谁能相信大疆这种实力的公司能干出这种事情来?
没什么好杠的 如果是那个意思的话 直接复制黏贴时候别带那句话就得了
而且想一想就能知道他这种修复应该是服务端修复 而不是每台机器更新
大公司主要是修的快,世上哪有破不了的墙呢?国产扫地机器人还是世界顶级的,至于安全问题,美国大公司不也一样有吗?
大疆还有扫地机器人?才知道
十几天前的旧闻了,这件事最搞笑的应该是,发现这个漏洞的用户,本身并没有想要 pentest 大疆的扫地机器人,甚至本身都不是安全从业者。
他本来就只是想用 PS5 手柄遥控机器人,然后就发现可以同时控制到 6700+ 其他用户的扫地机器人&摄像头权限