2026 年 2 月,一起看似「偶然」的安全事件揭开了消费级物联网设备的深层隐患。一位开发者在尝试用 PS5 手柄控制新购买的 DJI Romo 扫地机器人时,意外发现自己的客户端能够访问全球约 7000 台设备的数据 —— 包括实时视频流、麦克风音频、家庭平面图以及设备状态信息。这一事件绝非孤例,它折射出物联网协议层面普遍存在的授权模型缺陷,值得整个行业深刻反思。
漏洞技术根因分析
该事件的核心问题出在 MQTT 消息代理的访问控制层面。DJI Romo 扫地机器人采用 MQTT 协议与云端服务器进行实时通信,这一架构本身并无问题 ——MQTT 以其轻量级、低带宽特性成为 IoT 设备的理想选择。然而,问题在于消息代理的 topic 订阅机制缺乏严格的设备级隔离。
开发者在逆向分析自有设备的通信协议后,提取到了自己的认证令牌。这个 14 位数字的令牌在正常的设备绑定流程中本应仅授权访问对应设备的 topic,但后端服务器的错误配置导致该令牌实际上获得了订阅全局设备流的权限。换言之,系统将「已认证客户端」的概念过于宽泛地映射到了「可访问所有设备」,而没有在 MQTT topic 层面实现基于设备标识的细粒度访问控制。
这种缺陷的技术本质是缺少基于主题的访问控制列表(Topic ACL)和通配符订阅限制。在 MQTT 协议中,客户端可以订阅 devices/+/status 这样的通配符主题来批量获取同类数据,但如果 broker 没有对这类通配符订阅进行权限校验,就会导致横向越权访问。攻击者只需一个合法令牌,即可像本案例中一样,将个人设备身份放大为全局设备管理员身份。
暴露的数据面与风险等级
此次漏洞暴露的数据维度远超普通用户的想象。攻击者能够获取的敏感信息包括:设备序列号、实时电池电量与工作状态、摄像头拍摄的室内画面、麦克风捕获的音频流、扫地机器人的清洁路径记录以及基于 IP 地址推断的大致地理位置信息。这些数据组合起来,构成了一份完整的家庭物理安全与隐私画像。
安全研究人员指出,消费级 IoT 设备一旦存在此类后端缺陷,其本质就从「清洁工具」转变为「潜在 surveillance 设备」。犯罪分子可能利用此类漏洞进行精准踩点,而国家级行为者则可能将其作为情报收集的低成本节点。这种风险在具备视觉与听觉感知能力的设备上尤为突出 —— 扫地机器人恰恰同时具备这两种能力。
协议层面的安全加固方向
从技术实现角度,物联网平台应在以下几个关键点强化协议安全。首先是强制设备级身份绑定:每个认证令牌应严格关联唯一的设备标识,MQTT broker 在处理订阅请求时必须验证客户端所请求的 topic 是否与自身设备标识匹配。其次是限制通配符订阅:除非明确业务需求,否则应禁止客户端使用 # 或 + 等通配符进行多设备订阅,必要时需在应用层进行二次授权校验。第三是实施最小权限原则:API 层面应按设备粒度划分读写权限,避免「一证通行」的全能令牌设计。
对于协议选型,MQTT 5.0 版本引入了用户属性(User Properties)和订阅选项等新特性,平台应优先采用支持这些安全增强的协议实现。在传输层,TLS 加密已是底线要求,但更重要的是在应用层实现上述业务逻辑级别的访问控制。
负责任披露与行业响应
值得注意的是,发现者在意识到问题后并未进行任何恶意利用,而是选择与媒体合作并向厂商报告了这一缺陷。DJI 在接到报告后确认漏洞存在并完成了修复,强化了后端的访问控制策略。这种做法体现了负责任披露(Responsible Disclosure)的核心精神:发现者给予厂商合理的修复窗口,同时通过公开渠道让公众意识到风险存在。
从行业视角看,此事件应成为 IoT 安全的转折点。消费电子厂商在追求产品功能丰富性的同时,必须将后端安全视作产品生命周期不可分割的一部分。建议厂商建立专门的安全响应团队,制定清晰的漏洞披露政策,并在产品上市前进行专业的渗透测试。对于用户而言,在选型时应优先考虑支持本地控制(Local-only Control)的设备,或将 IoT 设备隔离在独立的网络 VLAN 中,以降低潜在的横向渗透风险。
资料来源:本事件经 The Verge、Malwarebytes 等媒体和安全机构报道,详见 Malwarebytes 博客。