6700台大疆扫地机器人,玩家竟用PS5手柄意外获控制权
当PS5 DualSense手柄的震动本该对应《战神》里的斧刃重击,却意外叩开了大疆Romo扫地机器人的通信端口——游戏玩家萨米·阿兹杜法尔的一次玩票尝试,撞开了IoT设备的安全黑箱:全球超6700台大疆Romo因此暴露在越权访问之下,家庭布局、实时视野、设备状态等隐私数据被批量泄露。
萨米的初衷是“让扫地机器人也有游戏手柄的操控感”:刚入手的大疆Romo能否用PS5手柄操作?带着这个想法,他用Claude Code对机器人与大疆服务器的通信协议做逆向工程,自制了一款远程控制工具,但测试时的一幕让他错愕:输入自家设备的专属令牌后,工具不仅连接了自己的Romo,还持续收到全球各地同类设备的响应信号。
“我没破解服务器,也没暴力攻击系统,只是提取了自己的令牌——大疆的服务器却把它当成了能访问所有设备的通用密钥”,萨米向媒体解释,这完全是意外。
失控的数据洪流:24国6700台设备的隐私暴露
The Verge记者现场见证了漏洞演示:9分钟内,萨米的电脑记录了24个国家的6700台大疆Romo,收集到超10万条设备数据——从设备序列号、清洁过的房间、实时视野画面,到行驶距离、充电时间、甚至遇到的障碍物位置。
更惊人的是,仅需同事托马斯提供的14位设备序列号,就能精准查看其Romo正在清洁客厅、剩余80%电量的状态,还能获取托马斯家的家庭二维布局图(对比显示,从服务器获取的地图与房主手机端完全一致),萨米还能绕过自身机器人的安全PIN码查看实时画面,甚至将只读工具分享给法国IT咨询公司CTO贡扎格,对方未配对任何设备,就能远程查看自家Romo的实时视野。
IoT设备的“安全软肋”:令牌机制为何失效?
这次漏洞暴露了IoT设备普遍存在的安全缺陷:设备专属令牌的验证逻辑存在致命漏洞,大疆服务器未对令牌做“设备绑定校验”,仅通过令牌本身的存在性验证身份,导致单个用户的令牌被误判为通用权限。
据Gartner 2023年数据,全球超140亿台IoT设备中,约25%存在未修复的身份验证漏洞——此前某品牌扫地机器人曾因类似问题泄露10万+家庭布局图,某智能摄像头品牌则因弱口令漏洞导致全球数百万用户画面被公开,这些漏洞本质是厂商在“便捷性”与“安全性”之间的失衡,为了降低用户操作门槛,牺牲了必要的安全校验。
大疆的应对与用户隐私的“后遗症”
事件曝光后,大疆官方确认已完成漏洞修复,但被泄露的数据是否已被滥用仍存疑问,家庭二维布局图、实时视野画面等隐私信息,若落入不法分子手中,可能被用于入室盗窃、精准定位等违法活动。
萨米强调自己每次关闭工具都会清除所有获取的数据,未滥用漏洞侵犯他人隐私,但也引发讨论:DIY玩家发现此类漏洞后,是否应第一时间通过厂商漏洞上报渠道反馈,而非先向媒体演示?毕竟,漏洞曝光的速度越快,不法分子利用的时间窗口就越长。
游戏硬件跨界的“安全边界”
PS5手柄跨界控制IoT设备,本质是硬件玩家对“万物互联”的探索,但此次事件也提醒:任何跨界尝试都需关注设备安全机制,游戏手柄作为输入设备,本身不具备安全验证能力,若连接未授权的IoT设备,可能成为漏洞触发的“入口”。
厂商在设计IoT设备时,需强化令牌绑定、多因素验证等安全逻辑;用户则需警惕“新奇玩法”背后的隐私风险,避免随意连接未认证的第三方工具,毕竟,“好玩”的前提,是安全。
想解锁更多游戏硬件的跨界玩法?关注攻略蜂巢,一手动态早知道。
迪士尼高层正等时机收购Epic Games 玩家关心后续影响
想玩创新二次元RTS?专访无限幻想战线制作人,拓荒者邀你筑幻想
剑星SHIFT UP工作室,三上真司合作推出UNBOUND游戏新作
想爽玩被魔兽包围?KK官方对战平台爆款新图我被魔兽包围了上线!