此事经The Verge曝光后,大年夜疆官方作出回应,称已完成马脚修复。
发明该马脚的是萨米·阿兹杜法尔(Sammy Azdoufal)。他向媒体表示,本身初志只是认为用PS5手柄控制新入手的大年夜疆Romo很有趣,便用Claude Code软件逆向工程了机械人与大年夜疆办事器的通信协定,克己了一款长途控制应用。
令人不测的是,这款应用连接办事器后出现权限掉控,他仅提取了自家设备的私有令牌,便获得了全球约7000台Romo的响应。
The Verge记者现场见证了马脚演示。9分钟内,阿兹杜法尔的电脑就记录了24个国度的6700台大年夜疆设备,收集到10万余条设备消息,涵盖设备序列号、干净房间、所见场景、行驶距离、充电时光及碰到的障碍物等。
托马斯栖身空间的两张地图,上方是从DJI办事器获取的未经身份验证的地图;下方是房主在本身手机上看到的地图。
仅凭同事托马斯·里克(Thomas Ricker)供给的14位设备序列号,便能精准查看机械人正在干净客堂、残剩80%电量的状况,还能获取同事家的精准楼层平面图。
此外,他还能绕过自身机械人的安然PIN码查看及时画面,甚至将一款只读版应用分享给法国一名IT咨询公司CTO贡扎格·丹布里库尔(Gonzague Dambricourt),对方在未配对设备的情况下,也能长途查看自家Romo的摄像头画面。
阿兹杜法尔强调,本身并未入侵大年夜疆办事器,“我没有违背任何规矩,没有破解、暴力破解任何体系”,只是他提取的自家设备私有令牌,本应用于验证自身设备拜访权限的密钥,被大年夜疆办事器误判为通用权限,进而泄漏了全球数千台设备的数据。
他还泄漏,本身每次封闭对象都邑清除所有获取的数据,并未滥用马脚侵犯他人隐私。
发表评论 取消回复