2024 年 8 月 10 日,TechCrunch 报道了一则新闻:Ecovacs 家用机器人可能被黑客用来监视其主人。安全研究人员 Dennis Giese 和 Braelynn 将在 Def Con 黑客大会上详细介绍他们的研究发现。根据他们的研究,恶意黑客可以接管由 Ecovacs 制造的吸尘器和割草机器人,利用这些设备的摄像头和麦克风进行监视。
研究人员发现,这些设备存在许多可以被滥用的漏洞,黑客可以通过蓝牙远程打开麦克风和摄像头,从而进行监视。尽管研究人员已经联系了 Ecovacs 报告这些漏洞,但他们从未得到公司的回复,这意味着这些漏洞可能仍未修复。研究人员在分析几款 Ecovacs 产品时,发现了许多可以被滥用的漏洞。这些漏洞允许任何使用手机的人通过蓝牙从 450 英尺(约 130 米)远的地方连接并接管 Ecovacs 机器人。一旦黑客控制了设备,他们可以远程连接,因为机器人本身通过 Wi-Fi 连接到互联网。
Giese 解释道:“您发送一个需要一秒钟的负载,然后它会回连到我们的机器。因此,这可以,例如,连接回互联网服务器。从那里,我们可以远程控制机器人。” 通过这种方式,黑客可以读取 Wi-Fi 凭证、保存的房间地图,并访问摄像头和麦克风。研究人员指出,割草机器人始终保持蓝牙激活,而吸尘机器人在启动时激活蓝牙 20 分钟,每天自动重启时激活一次,这使得它们更难被黑。
由于大多数新款 Ecovacs 机器人至少配备一个摄像头和麦克风,一旦黑客控制了一个被入侵的机器人,这些机器人可以被转化为间谍。根据研究人员的说法,机器人没有硬件灯或其他指示机器附近的人他们的摄像头和麦克风已开启的指示灯。在某些型号上,理论上每五分钟会播放一个音频文件,提示摄像头已开启,但黑客可以轻松删除该文件并保持隐形状态。
除了黑客风险,Giese 和 Braelynn 还发现了 Ecovacs 设备的其他问题。其中包括:即使在删除用户账户后,机器人上存储的数据也会保留在 Ecovacs 的云服务器上;认证令牌也会保留在云端,允许某人在删除账户后访问机器人吸尘器。此外,割草机器人具有防盗机制,如果有人拿起机器人则需要输入一个 PIN,但 PIN 以明文存储在割草机内部,黑客可以轻松找到并使用。
Ecovacs 机器人安全漏洞的曝光引发了广泛的讨论。事实上,这并不是第一次智能家居设备被发现存在安全漏洞。早在 2023 年,另一家智能家居设备制造商也被曝出其摄像头系统存在漏洞,黑客可以通过远程访问摄像头监视用户的家庭活动。这些事件凸显了智能家居设备在安全性方面的脆弱性。
专家们指出,智能家居设备的安全性问题主要源于以下几个方面:
- 这些设备通常连接到互联网,使得黑客可以远程访问。
- 许多设备的安全设计不够完善,缺乏必要的加密和认证机制。
- 设备制造商在发现漏洞后往往反应迟缓,未能及时修复漏洞。
针对 Ecovacs 机器人安全漏洞,专家们建议用户采取以下措施来保护自己的隐私:
- 定期检查设备的固件更新,并及时安装最新的安全补丁。
- 避免在设备上存储敏感信息,如 Wi-Fi 密码和家庭地图。
- 在不使用设备时断开其互联网连接,以减少被黑客攻击的风险。