西班牙工程師意外「接管」七千台 DJI 掃地機器人,智慧家電資安又出漏洞
智慧家庭裝置為生活帶來便利,但同時也可能打開資安後門。近日,一名西班牙軟體工程師意外發現,他竟能遠端控制全球約 7,000 台掃地機器人,甚至查看即時影像與收集大量裝置訊息。隨著智慧家居市場預計在 2032 年達到 1,390 億美元規模,產業高速成長背後,安全機制是否跟得上創新步伐,成為無法忽視的關鍵問題。
嘗試改裝掃地機,卻意外發現全球漏洞
根據科技媒體《The Verge》報導,這起事件源於西班牙軟體工程師 Sammy Azdoufal 的一次實驗。他原本只是想對自己新購入的 DJI Romo 掃地機器人進行逆向工程,讓裝置可以透過 PlayStation 5 手把操控。
然而,在他自製的遠端控制應用程式與 DJI 伺服器建立連線後,事情出現了意料之外的發展:不只一台機器人回應,而是全球約 7,000 台掃地機器人同時「把他當成主人」。
新年快樂!下方有限時紅包可以領取
Azdoufal 發現,他不僅能夠透過裝置的即時鏡頭觀看畫面、收聽聲音,還收集了超過 100,000 則來自不同機器人的訊息數據。更令人震驚的是,他還能透過機器人的 IP 位址推算出裝置的大致地理位置。
這意味著,只要掌握相同的存取憑證,就可能大規模取得其他使用者設備的控制權。
DJI 回應:漏洞已修補、Azdoufal 擔心被告
值得注意的是,Azdoufal 表示自己並無惡意,也並非刻意入侵其他設備。他主動聯繫通報這項漏洞,希望問題能被正視與修復。
DJI 隨後證實問題已經解決,並在社群平台 X 上公開感謝 Azdoufal 的回報。
DJI 表示:「您的負責任回饋對我們而言極為寶貴。」
Azdoufal 也在 X 上幽默回應,自稱「the vacuum guy」,還開玩笑說收到許多人主動提供免費掃地機器人。
儘管如此,由於媒體爭相報導,Azdoufal 也擔心 DJI 會找理由向他提告。
資安專家示警:智慧裝置安全常被忽略
事實上,這並非個案。英國薩里大學(University of Surrey)電腦科學教授 Alan Woodward 指出,許多智慧產品製造商在產品開發初期,往往將「創新」與「搶市」擺在優先位置,而安全則成為事後補強的選項。
Woodward 表示,產業常抱持「快速行動、打破常規」的心態,希望推出更便宜、功能更多的新產品,但軟體開發早期就已經證明,若忽略資安設計,最終將付出漏洞代價。
他指出,智慧裝置的安全問題並非單一軟體元件錯誤,而是整體系統設計問題,包括:
-
裝置本身的軟體如何與雲端伺服器互動
-
伺服器如何與手機應用程式連線
-
身分驗證機制是否有效隔離不同用戶
只要其中一個環節出現設計缺陷,就可能產生連鎖風險。
智慧家庭市場爆發,風險同步升高
根據研究機構 MarketsandMarkets 的數據,全球智慧家庭市場預計在 2032 年達到 1,390 億美元規模。從智慧燈光、門鎖、監視器、嬰兒監控器到暖氣系統,各類裝置快速滲透家庭生活。
然而,《Journal of Information Security and Applications》的一項研究指出,駭客曾成功控制:
-
照明系統
-
電子門鎖
-
安全攝影機
-
嬰兒監視器
-
暖氣系統
掃地機器人事件只是其中之一。當設備連網越多,潛在攻擊面也同步擴大。
漏洞根源:預設憑證與權限隔離不足
在這起掃地機事件中,Azdoufal 之所以能取得其他裝置控制權,是因為他的裝置憑證竟可存取其他機器人。
Woodward 建議,企業應強制使用者在首次啟用產品時設定專屬密碼,而非使用統一或可推導的預設憑證。同時,開發團隊也必須全面理解系統如何可能被入侵,而非只專注於單一模組。
他強調,資安不只是寫程式的一部分,而是整體產品設計文化的一部分。
消費者也需提高警覺
除了企業端責任,消費者也應審慎評估智慧裝置帶來的隱私風險。
Woodward 表示:「不是因為做得到,就代表應該這麼做。」
智慧家電確實讓生活更便利,但當裝置擁有攝影機、麥克風與定位能力時,一旦遭到濫用,後果可能遠超預期。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
