当肖恩·凯利(Sean Kelly)买了一台顶级的吸尘器时,他以为自己在做一个明智的决定。
他的Ecovacs Deebot X2不仅能帮助他保持与妻子、双胞胎幼儿和五个月大的婴儿共用的房子的清洁,而且他相信,花费2500澳元(约合1600美元)就能确保房子不受黑客。
他一点也不知道,在他们家脚边飞驰的清洁机里有一个安全漏洞,可以让任何人看到和听到他们的一举一动。
而且这个缺陷不仅仅是理论上的,实际上被一个叫丹尼斯·吉斯的安全研究人员利用了,他花了多年时间寻找机器人真空器的缺陷。
Giese发现了一种通过蓝牙远程利用Ecovacs机器人(包括割草机和Deebot真空吸尘器)的方法,获得敏感信息和功能,包括机载摄像头和麦克风。
像任何负责任的安全研究人员一样,Giese将这个漏洞告知了 Ecovacs 。然而,尽管在2023年12月被告知,这个安全漏洞仍然没有得到解决。
澳大利亚电视台的ABC新闻联系了戴斯关于他的发现,并-在凯利的允许-黑客机器人真空。
新闻记者不仅可以看到凯利在四楼办公室的厨房里煮咖啡(他的妻子出于可以理解的隐私考虑禁止在家里做这个实验),而且他们还可以和他说话。
“你好,肖恩。”一个机器人的声音说。“我在看你呢。”
记住,这是通过蓝牙远程进行的。而黑客机器人吸尘器的记者也不是在同一个房间,甚至也不是在同一间办公室——而是在街对面的公园底层。
即使是这种近距离也只是在设备最初的蓝牙黑客中才需要的。一旦被妥协,它可以从世界的任何地方被控制。图像和音频被传输到美国的服务器,然后转发到Giese在柏林的公寓。
吉斯表示, Ecovacs 没有回应他最初在2023年12月负责任地披露安全漏洞,而在他于8月在一个黑客会议上公开了一些细节后,他们最初淡化了这个问题,声称它需要“专门的黑客工具和物理访问设备”。
然而,ABC新闻的演示并不需要物理接触,甚至不需要看到真空,而且可以用廉价的智能手机完成。
Ecovacs现在似乎更认真地对待这个问题,并表示已经开始为部分车型推出安全更新,并将于2024年11月为其 Deebot X2提供安全更新。
对它的一些客户来说,这还来得及。在实验结束后,肖恩·凯利(Sean Kelly)被吓坏了,他自己动手处理这件事,以保护家人的隐私不受他昂贵的机器人吸尘器的影响:
“我已经开始在它不用的时候往上面扔一块小餐巾了。”