家中的特洛伊木馬:這次「木馬」甚至不是免費的
特洛伊木馬的故事,幾個世紀以來都在提醒我們:有些「禮物」背後藏著敵人。如今這個隱喻顯得異常貼近現實:在許多家庭裡,那匹「木馬」不僅不再免費,還可能正在實時監視、聆聽,甚至繪製你私密空間的地圖。科技媒體 The Verge 近日報導的一起事件,就揭露了現代智慧家電如何變成特洛伊式的後門。
西班牙工程師 Sammy Azdoufal 原本並不想駭入全世界的掃地機器人。他只是想用 PS5 手把遠端操控新買的 DJI Romo,於是自己寫了遙控 App,並逆向分析 DJI 的通訊流程。沒想到,當他的程式連上 DJI 伺服器後,看到的不只是自己的機器,而是全球約 7,000 台 Romo 的即時資料,瞬間讓他變成無意間可以指揮成千上萬台掃地機器人的「王者」。
在測試中,他能遠端操控機器人、觀看即時鏡頭畫面、聽到麥克風收音,還能看著機器人建立 2D 平面圖,並用 IP 位址推估大致位置。他只抽出了自己的私密 token(讓伺服器認得「你可以看你的資料」的鑰匙),伺服器卻把別人的資料也一併交了出來。他形容「我的裝置只是資訊汪洋中的一台」,揭露了只要一扇門打開,就可能看到整片海洋。
在現場示範中,他的筆電每 3 秒就收到大量裝置的 MQTT 訊息:序號、正在清掃的房間、行進距離、是否回充電座、遇到的障礙等。短短 9 分鐘,他就盤點到 24 國、約 6,700 台裝置,累積超過 100,000 則訊息;若再加上同樣連到這些伺服器的 DJI Power 行動電源,可見裝置數甚至破萬。只要輸入 14 位數的序號,他就能查到媒體同事正在測試的那台 Romo,看到它在客廳清掃、電量 80%,並在不同國家遠端看著它把住宅格局正確建模。
Azdoufal 通報後,DJI 緊急修補,先是限制權限,讓他無法再操控別人的機器或看即時畫面與麥克風;隔天連他自己機器的資料也看不到了,顯示主要漏洞可能已補上。但這起事件仍引發對 DJI 資安與資料治理的質疑:一個工程師都能「撞」到成千上萬台裝置,如果是惡意攻擊者呢?再加上掃地機器人配備麥克風本身就讓人不安,他也直言「吸塵器上裝了麥克風真的很怪」。
DJI 後來承認,問題核心在於「後端權限驗證」,也就是裝置與伺服器之間以 MQTT 為基礎的通訊權限控管。公司表示 1 月底內部檢視時發現漏洞,2 月 8 日先推第一波修補,2 月 10 日再完成第二波更新,並稱已全數解決且不需使用者操作。DJI 也駁斥「不加密傳輸」的說法,強調 Romo 與伺服器之間以 TLS 加密傳輸。但研究者指出,就算「管道」加密,若缺乏細緻的 topic 權限控管,同一系統內的越權訂閱仍可能看到大量裝置訊息。TLS 擋得住竊聽,卻擋不住系統內部的權限失守。
Azdoufal 表示,目前仍有其他漏洞未完全修好,例如可在不輸入安全 PIN 的情況下看自己的 Romo 影像串流,另有更嚴重的問題他選擇暫不公開,DJI 則稱會在這週內處理。
這起事件的真正重點,不只是某一款產品的 bug,而是一種模式:許多「智慧」家電預裝了鏡頭、麥克風與雲端連線,被包裝成便利,實則可能成為監視工具。家中的特洛伊木馬,不再是被留在城門外的木馬,而是我們自己掏錢買回來、插上電、請進臥室與客廳的光鮮家電。這次,那匹木馬甚至不是免費的——它的代價,可能不是金錢,而是隱私。
發表文章
