2024 年 8 月 10 日,Def Con 黑客大会上,安全研究人员 Dennis Giese 和 Braelynn 揭示了 Ecovacs 家用机器人存在的重大安全漏洞。这些漏洞允许黑客通过控制 Ecovacs 制造的吸尘器和割草机器人,利用设备的摄像头和麦克风监视其主人。
研究人员发现,黑客可以通过蓝牙从 450 英尺(约 130 米)远的地方连接并接管这些设备。一旦控制了设备,黑客可以远程连接,因为机器人通过 Wi-Fi 连接到互联网。尽管研究人员已经联系了 Ecovacs 报告这些漏洞,但公司尚未作出回应,这意味着这些漏洞可能尚未修复。
具体来说,割草机器人始终保持蓝牙激活,而吸尘机器人在启动时激活蓝牙 20 分钟,每天自动重启时激活一次。由于大多数新款 Ecovacs 机器人至少配备一个摄像头和麦克风,一旦黑客控制了一个被入侵的机器人,这些机器人可以被转化为间谍。机器人没有硬件灯或其他指示机器附近的人他们的摄像头和麦克风已开启的指示灯。在某些型号上,理论上每五分钟会播放一个音频文件,提示摄像头已开启,但黑客可以轻松删除该文件并保持隐形状态。
除了黑客风险,Giese 和 Braelynn 还发现了 Ecovacs 设备的其他问题。例如,即使在删除用户账户后,机器人上存储的数据也会保留在 Ecovacs 的云服务器上;认证令牌也会保留在云端,允许某人在删除账户后访问机器人吸尘器。此外,割草机器人具有防盗机制,如果有人拿起机器人则需要输入一个 PIN,但 PIN 以明文存储在割草机内部,黑客可以轻松找到并使用。
Ecovacs 机器人存在的安全漏洞不仅威胁到用户的隐私,还可能带来更严重的安全风险。黑客可以通过控制这些设备获取用户的 Wi-Fi 凭证、读取保存的房间地图,甚至访问摄像头和麦克风,进行实时监视。这些信息一旦落入不法分子手中,可能被用于入室盗窃、勒索等犯罪活动。
专家建议,用户在购买智能家居设备时,应优先选择那些在安全性上有良好口碑的品牌。同时,定期更新设备的固件和软件,确保使用最新的安全补丁。对于已经购买了 Ecovacs 机器人的用户,建议暂时关闭设备的蓝牙功能,或者在不使用时断开设备的电源,以降低被黑客攻击的风险。
用户还可以采取一些额外的防护措施:
- 设置强密码并定期更换,避免使用默认的 Wi-Fi 名称和密码。
- 使用独立的网络连接智能家居设备,避免与其他重要设备共用同一网络。
- 定期检查设备的使用记录,发现异常情况及时采取措施。