暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、MasterCard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
シームレスなグローバル取引を可能にする暗号決済カード。
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物キックオフ
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
コミュニティ
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
もっと
プロモーション
その他
TradFi
giveaways
報酬センター

中国の無人機大手ユーザーのセキュリティが丸裸に?彼はClaudeを使ってリバースエンジニアリングを行い、世界中の機器の制御権を取得した

CryptoCity

エンジニアがClaudeを用いて逆向きエンジニアリングを行い、DJIのRomo掃除ロボットを解析。意図せずに世界中の7000台のデバイスの制御権を取得し、家庭のプライバシーが露呈。

中国製AI玩具も個人情報漏洩が頻発し、セキュリティ上の懸念が高まっている。

大疆創新DJI Romo掃除ロボットのセキュリティ問題

PS5コントローラーで掃除ロボットを操作しようとしただけなのに、なぜか世界中の7000台のロボットを制御できてしまった?

今年2月、エンジニアのSammy Azdoufalは《The Verge》に対し、PS5コントローラーを使って新たに購入した大疆創新DJI Romo掃除ロボットを遠隔操作しようとしたところ、AIプログラミングアシスタントのClaude Codeを用いて、そのデバイスと大疆クラウドサーバー間の通信プロトコルを逆向きに解析した。

結果、自作のアプリとサーバーを接続したところ、自分のデバイスだけでなく、世界中の約7000台の大疆掃除ロボットの制御権を偶然に取得してしまった。

Azdoufalは、これらのロボットを遠隔操作し、リアルタイムのカメラ映像や音声を監視できるだけでなく、各部屋の正確な形状と大きさを反映したフロアプランを描き出す様子も確認した。

メディアの実証テストで判明した脆弱性、シリアル番号だけで家庭のプライバシーが丸見え

DJI Romoの脆弱性を検証するため、《The Verge》の記者は、評価を終えた同僚のThomas Rickerに、DJI Romo掃除ロボットの14桁シリアル番号を提供させたところ、Azdoufalはこの番号だけでシステム内のロボットを特定し、リビングルームを掃除中で電池残量が80%であることを正確に把握した。

画像出典:大疆創新(DJI)公式サイト大疆創新DJI Romo掃除ロボットのセキュリティ問題

わずか数分で、遠く離れた別の国にあるロボットが正確な住宅のフロアプランを生成し、送信した。Azdoufalは記者に対し、自身のデバイスのリアルタイム映像にパスワードを突破して直接アクセスできることを示した。

彼は、DJIのサーバーにハッキングしたわけではなく、デバイスのプライベート証明書を抽出しただけで、サーバーは何千人もの他のユーザーの情報を平文で送信していたと強調した。

DJIは認証の脆弱性を認め、修正済みと発表

大疆創新(DJI)は中国のドローン・テクノロジー大手で、民生・商用のドローン、カメラ、掃除ロボットなどを製造し、市場シェアは70%〜83%に達している。

画像出典:大疆創新(DJI)公式サイト大疆創新(DJI)は中国のドローン・テクノロジー大手

メディアによるセキュリティ事件の暴露に対し、DJIの広報担当Daisy Kongは声明を出し、今回の脆弱性はデバイスとサーバー間の通信におけるバックエンドの認証問題に起因すると認めた。会社は1月下旬にこの脆弱性を発見し、2月上旬に2回にわたりアップデートを実施して解決した。

DJIは、この問題により未承認の第三者がロボットのリアルタイム映像にアクセスできる可能性があったとしつつも、実際には非常に稀であり、ほとんどのケースはセキュリティ研究者が自己のデバイスをテストした際に発生したものであり、通信はTLS暗号化を用いていると述べている。

しかし、セキュリティ研究者のKevin Finisterreは指摘する。たとえ通信が暗号化されていても、サーバー側に適切なアクセス制御がなければ、内部関係者や認証済みクライアントが容易にデータを読み取ることができる。

中国製AI玩具のセキュリティ懸念も次々と明らかに

DJIの掃除ロボット以外にも、海外メディアは最近、中国製AI玩具のセキュリティと教育面の懸念を報じている。

《Wired》の1月末の報告によると、セキュリティ研究者のJoseph ThackerとJoel Margolisは、中国のAI玩具企業Bonduのバックエンドに防護策がなく、5万件以上の子供の個人情報と会話内容が漏洩したことを発見した。

また、《NBC News》は、中国企業Miriatが製造した人形Miilooが、子供たちに特定の政治的立場を刷り込む例を指摘している。例えば、「台湾は中国の一部である」といった内容を含む。

米国の公益研究機関も、AI玩具にコンテンツフィルタリング機能が欠如していることを警告し、米国議会の中国問題特別委員会は、これらのデバイスのデータプライバシーと国家安全保障リスクを懸念し、教育省に書簡を送った。

詳細は以下を参照:
AI玩具を買い続けるべきか?Bonduの5万件超の子供の個人情報漏洩、Miilooは「台湾は中国の一部」と刷り込み

原文表示
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし