大声唾骂用户 科沃斯扫地机器人被黑

据ABC New、Techcrunch等多家媒体报道,近日美国多个市区的科沃斯(Ecovacs)默认扫地机器人遭黑客入侵,黑客经过机器人的扬声器大声唾骂用户,甚至远程操控机器人追赶用户的宠物。据悉,一切受益者经常使用的都是科沃斯Deebot X2型扫地机器人,这一型号也正是美国广播公司(ABC)曾成功破解,证实存在重大安保破绽的设施。

事情出现时,明尼苏达州的一名律师Daniel Swenson正在看电视,突然他的扫地机器人开局举止意外。经过扫地机器人的运行程序,Swenson看到有生疏人访问了设施的实时摄像头和远程控制配置。虽然他重置了明码并从新启动了设施,但黑客依然能够再次入侵,且经过扬声器大声喊出种族歧视舆论。

Swenson示意,虽然这次黑客的行为令人愤怒,但幸运的是,黑客选用了高调现身。假设黑客选用默默观察家庭的隐衷,结果或许愈加重大。Swenson的扫地机器人原本安排在家中与主卧室相邻的卫生间,而他的孩子们经常在那里洗澡,黑客本可以经过摄像头窥探他们的隐衷。

除了Swenson,位于洛杉矶和埃尔帕索的用户也在几天内遭逢了相似攻打。尤其令人担心的是,这些黑客不只可以经过远程操控机器人,还可以经过设施摄像头窥探用户的家庭生存,齐全不被发觉。

据ABC News报道,科沃斯公司对此次事情的回应引发了用户的不满。虽然公司称已启动“安保考查”并经过邮件告知Swenson,黑客是经过"凭证填充"攻打失掉了他的账号和明码,但公司并未提及设施安保性的疑问,而是将责任归纳于用户的明码暴露。

理想上,早在2023年12月,两名网络安保钻研人员就曾在Def Con黑客会议上正告科沃斯的产品存在少量安保毛病和破绽(例如损坏的加密、缺少TLS证书验证、基于荣誉系统的ACL和少量的RCE破绽、失效的出厂重置和未授权实时摄像头访问),尤其是设施明文存储PIN码存在重大的安保隐患。

钻研人员示意,关键疑问在于科沃斯扫地机器人(包含割草机)存在一个破绽,任何人只需经常使用手机,就能经过蓝牙从130米远的中央衔接并控制用户的科沃斯机器人。一旦黑客控制了该设施,他们就可以远程衔接启动遥控和监督,由于机器人自身经过Wi-Fi衔接到互联网。

虽然科沃斯随后宣称已修复破绽,但外部专家以为其修复措施仍无余以堵住安保破绽。

科沃斯事情的出现再次敲响了默认家居设施安保的警钟。默认设施在提供便利的同时,也将用户的隐衷置于危险之中。假设这些设施的安保性得不到有效保证,用户的团体隐衷或许随时面临外界的窥探和攻打。

您可能还会对下面的文章感兴趣: