DJI Romo掃地機器人爆嚴重漏洞 全球近7000部即時畫面任睇
一款本想用來吸塵的智能家居設備,竟然變成隨時可被陌生人窺探家中的「偷窺神器」。中國無人機巨頭DJI(大疆)去年進軍掃地機器人市場的首款產品Romo,被揭發存在嚴重安全漏洞。一名西班牙開發者原本只想用PlayStation 5手掣遙控自己的Romo玩樂,卻意外發現能夠存取全球近7,000部正在運作的Romo,不僅可以看到它們的即時鏡頭畫面、聽到現場聲音,甚至能夠遙距操控這些裝置。
一次意外發現 揭開裝置海洋的私隱危機
事緣於西班牙開發者Sammy Azdoufal近日忽發奇想,希望利用PS5的DualSense手掣來遙控自己新買回來的DJI Romo掃地機器人。他利用人工智能編程工具Claude Code自行開發了一個遙控應用程式,試圖逆向工程分析DJI的通訊協議。然而當他的應用程式開始與DJI的伺服器溝通時,意想不到的事情發生了。
回應他的不僅是自己的Romo,而是全球各地正在運作中的約7,000部Romo掃地機器人。Azdoufal向科技媒體《The Verge》表示,這些裝置幾乎都把他當成了主人,他不僅可以遙距控制它們,還能透過裝置上的鏡頭觀看即時畫面、聆聽現場環境聲音。他甚至可以觀看機器人繪製每個房間的地圖,生成完整的2D平面圖,並利用機器人的IP位址推測其大概位置。
Azdoufal形容:「我發現我的裝置只是整個裝置海洋中的其中一員。」
媒體實測證實漏洞 僅憑序號即可入侵
為了驗證漏洞的真實性,《The Verge》的編輯團隊進行了實測。他們將同事正用於評測的Romo裝置序號提供給Azdoufal,結果身在巴塞隆拿的Azdoufal僅憑這14位數字,就能準確看到該部機器人正在清潔客廳,電池剩餘80%。在短短幾分鐘內,他們更目睹該機器人生成並傳送了一份詳盡的室內平面圖,每個房間的形狀和大小都準確無誤。
實測開始後僅9分鐘,Azdoufal的筆記型電腦已經記錄到6,700部DJI裝置,遍佈24個國家,並收集了超過10萬則訊息。若計入同樣連接至這些伺服器的DJI Power流動電源,可存取的裝置總數超過10,000部。
更令人憂慮的是,Azdoufal示範了繞過Romo的鏡頭存取安全PIN碼,直接觀看自己裝置的即時畫面。
DJI回應漏洞:後端權限驗證出錯
Azdoufal強調,他能夠做到這一切並非入侵DJI的伺服器,而是提取了自己Romo的私人權杖(Token)。這組權杖本來是告訴DJI伺服器用戶有權存取自己資料的「鑰匙」,但伺服器卻錯誤地給予了他存取其他用戶資料的權限。
DJI發言人Daisy Kong向媒體證實,公司於1月底透過內部審查發現了這個涉及DJI Home的漏洞,並立即開始修補。問題涉及影響裝置與伺服器之間MQTT通訊的後端權限驗證錯誤,理論上可能導致未經授權存取Romo裝置的即時影片。
DJI表示,漏洞透過兩次更新解決,首次修補於2月8日部署,後續更新於2月10日完成,修補會自動生效,用戶毋須採取任何行動。公司強調,調查確認實際發生的情況極為罕見,幾乎所有被識別的活動都與獨立安全研究人員測試自己的裝置有關。
然而,當DJI於2月10日向媒體發出聲明,表示問題已於上周解決時,約半小時後Azdoufal仍能向媒體展示數千部機器人持續回應其指令,當中包括評測機。直至2月12日早上,Azdoufal的掃描程式才無法再存取任何機器人。
漏洞雖已修補 業界安全問題再惹關注
儘管DJI現已堵住漏洞,但事件引發外界對智能家居裝置私隱保障的深切關注。Azdoufal向媒體透露,DJI仍未修補他發現的所有漏洞,其中一個是不需安全PIN碼即可查看自己Romo的影片串流,另一個漏洞則嚴重到他不願公開描述。
安全研究人員指出,即使Romo傳送加密數據到美國伺服器,若伺服器內部任何人都能輕易讀取,仍不夠安全。一旦成為MQTT訊息代理的已認證用戶端,若沒有適當的主題級存取控制,用戶可訂閱萬用字元主題,在應用層以明文形式看到所有裝置的訊息,TLS加密對此無能為力。
事實上,智能家居裝置的安全問題並非DJI獨有。2024年,黑客曾入侵Ecovacs掃地機器人,用來追逐寵物並喊出種族歧視言論。2025年,韓國政府機構的報告指出,Dreame X50 Ultra存在漏洞可讓黑客即時查看鏡頭畫面,Ecovacs和Narwal的產品亦可能讓黑客竊取裝置內的照片。
對用家的啟示:智能家居私隱不容忽視
對於智能家居滲透率極高的香港市場而言,今次事件再次敲響私隱安全的警鐘。掃地機器人配備鏡頭和麥克風已成為主流趨勢,但它們收集的室內環境數據、生活習慣資訊,一旦外洩將對用戶私隱構成嚴重威脅。
專家建議,消費者在選購智能家居產品時,除了考慮功能與價錢,更應關注品牌的安全記錄和漏洞修復能力。對於已購買相關產品的用戶,應確保裝置的韌體和相關應用程式保持最新版本,並考慮在不必要時遮擋鏡頭或關閉連線功能。
Azdoufal在回應外界對其披露手法的質疑時表示,他沒有入侵任何系統或暴露敏感資料,自己也不是安全專業人員,只是在嘗試用PS5手掣控制機器人時,即時發布了發生的一切。他坦言不在乎漏洞獎勵計劃的獎金,只希望問題盡快解決,並對DJI只在社交平台私訊中機械式回應、卻不回覆電郵感到不滿。
今次事件再次證明,在萬物互聯的時代,便利與私隱之間需要更謹慎的平衡。
