大声唾骂用户 科沃斯扫地机器人被黑

据ABC New、Techcrunch等多家媒体报道，近日美国多个市区的科沃斯（Ecovacs）默认扫地机器人遭黑客入侵，黑客经过机器人的扬声器大声唾骂用户，甚至远程操控机器人追赶用户的宠物。据悉，一切受益者经常使用的都是科沃斯Deebot X2型扫地机器人，这一型号也正是美国广播公司（ABC）曾成功破解，证实存在重大安保破绽的设施。

事情出现时，明尼苏达州的一名律师Daniel Swenson正在看电视，突然他的扫地机器人开局举止意外。经过扫地机器人的运行程序，Swenson看到有生疏人访问了设施的实时摄像头和远程控制配置。虽然他重置了明码并从新启动了设施，但黑客依然能够再次入侵，且经过扬声器大声喊出种族歧视舆论。

Swenson示意，虽然这次黑客的行为令人愤怒，但幸运的是，黑客选用了高调现身。假设黑客选用默默观察家庭的隐衷，结果或许愈加重大。Swenson的扫地机器人原本安排在家中与主卧室相邻的卫生间，而他的孩子们经常在那里洗澡，黑客本可以经过摄像头窥探他们的隐衷。

除了Swenson，位于洛杉矶和埃尔帕索的用户也在几天内遭逢了相似攻打。尤其令人担心的是，这些黑客不只可以经过远程操控机器人，还可以经过设施摄像头窥探用户的家庭生存，齐全不被发觉。

据ABC News报道，科沃斯公司对此次事情的回应引发了用户的不满。虽然公司称已启动“安保考查”并经过邮件告知Swenson，黑客是经过"凭证填充"攻打失掉了他的账号和明码，但公司并未提及设施安保性的疑问，而是将责任归纳于用户的明码暴露。

理想上，早在2023年12月，两名网络安保钻研人员就曾在Def Con黑客会议上正告科沃斯的产品存在少量安保毛病和破绽（例如损坏的加密、缺少TLS证书验证、基于荣誉系统的ACL和少量的RCE破绽、失效的出厂重置和未授权实时摄像头访问），尤其是设施明文存储PIN码存在重大的安保隐患。

钻研人员示意，关键疑问在于科沃斯扫地机器人（包含割草机）存在一个破绽，任何人只需经常使用手机，就能经过蓝牙从130米远的中央衔接并控制用户的科沃斯机器人。一旦黑客控制了该设施，他们就可以远程衔接启动遥控和监督，由于机器人自身经过Wi-Fi衔接到互联网。

虽然科沃斯随后宣称已修复破绽，但外部专家以为其修复措施仍无余以堵住安保破绽。

科沃斯事情的出现再次敲响了默认家居设施安保的警钟。默认设施在提供便利的同时，也将用户的隐衷置于危险之中。假设这些设施的安保性得不到有效保证，用户的团体隐衷或许随时面临外界的窥探和攻打。