The Day My Smart Vacuum Turned Against Me
7 months ago
- #Smart Devices
- #Privacy
- #Reverse Engineering
- 作者的智能扫地机器人(iLife A11)被发现未经同意向远程服务器发送数据
- 阻断机器人的数据记录IP导致其功能异常,陷入反复维修与故障的循环
- 逆向工程显示该设备实为运行Linux系统和Google Cartographer三维建图技术的精密仪器
- 机器人开放的Android调试桥(ADB)接口无需认证即可获取root权限
- 在启动脚本中发现远程清除指令,存在人为禁用设备的故意行为
- 制造商通过rtty软件实现远程root访问,可任意操控或瘫痪设备
- 售后中心通过开放网络环境复活设备,但返回作者防火墙环境后再次失效
- 同款硬件(3irobotix CRL-200S)被多个品牌采用,存在广泛安全隐患
- 作者最终通过离线运行、阻断厂商访问通道并完整记录取证重新获得控制权
- 核心教训:'智能'设备常剥夺用户控制权、廉价设备牺牲安全性、物联网设备应隔离在独立网络