DEF CON 31：机器人吸尘器的作用可能比他们声称的要多

物联网、隐私

当涉及到隐私时，消费者仍然很复杂并且几乎不可能做出明智的决定。

托尼·安斯科姆

16 Aug 2023  •  , 3分钟读

周日上午 10 点在拉斯维加斯举行的 DEF CON 演讲。 我的期望是它会 出席率很低——我大错特错了。 丹尼斯·吉斯 (Dennis Giese) 迎来了挤满人的房间 著名的“黑客”机器人吸尘器专家。 演讲的主题是如何 阻止你的机器人吸尘器将数据发送回供应商，基于隐私的讨论 和安全。

上个月我的同事 Roman Cuprik 出版 WeLiveSecurity 上的一篇文章详细介绍了这些 家用吸尘设备可能会监视它们的主人，所以我不会深入讨论 在这里讨论潜在的间谍问题，而是讨论丹尼斯出色交付的突出部分 演示。

丹尼斯领导的研究人员有一个简单的目标——他们能否在不 拆解它？ 用简单的术语来说，对设备进行 Root 意味着获得对底层的访问权限 用于控制设备并可能对其进行修改的软件。 在当前情况下，这会创建一个 机会不是让设备变得异常，而是修改软件，以免 共享个人数据并将最终控制权交还给所有者。

文字游戏 

我假设此时您要么足够精明，已经阅读过 Roman 的文章，要么您 掌握隐私问题，例如带有摄像头的扫地机器人，将照片发送回 供应商的云服务器，可能会识别您家中的所有物品。

丹尼斯强调的问题之一是供应商的说法可能与现实不符：例如 该公司在演示中声称它不会将任何数据发送回云端，它永远不会 重复数据，其设备上的摄像头仅用于保护您家中的物体 来自碰撞。 这听起来可行，但为同一设备列出的另一个功能是您可以 远程访问摄像头并观察设备工作情况。 那么如果图像或 视频流不通过提供该功能的公司云服务器共享； 也许其中涉及到一些真正的巫术。

演示中提出的另一个问题是公司用来描述业务的措辞。 产品的功能和特点。 由于近年来有关设备的负面报道 据称，一些制造商在其上安装了摄像头，尤其是滥用的可能性 移除了摄像头； 相反，他们的文档称他们的设备使用“光学传感器”。 这只是 文字游戏； 当然，它们是相机，并且在演示中证明了这一点 他们能够捕捉图像： 他们是相机.

演讲中介绍了更多同样令人震惊的细节和例子。 它也是 强调许多经过测试并发现存在隐私和安全问题的设备 通过一些知名测试实验室的认证； 给出的认证机构的例子是 受人尊敬的德国测试机构以及更广泛的欧盟设备认证。

陈述与现实 

在 Roman 的博文中，他建议对设备进行购买前调查，我完全同意 如果我没有在 DEF CON 上听过这个演讲的话，在大多数情况下我都会同意。 很明显，虽然 这些集尘设备的固件和操作的安全性得到了提高，但仍然存在 复杂且消费者几乎不可能做出明智的决定。

声称不与云端共享数据、没有板载摄像头且带有认证的设备 为了安全和隐私，来自广受尊敬的测试实验室似乎满足所有要求 注重隐私的消费者； 但实际上，幕后发生的事情可能是 完全不同。 该演示不是关于某个制造商或型号，而是列出 两者都有很多案例。 在事情变得清晰之前，我会坚持将手持式真空吸尘器推向周围 屋。

最后一条评论——赞扬丹尼斯·吉斯在周日发表了如此精彩的演讲 早上在维加斯。 但我敦促您不要向公众透露问题，而应该关注 行业协调的披露标准。 我相信机器人吸尘器公司会 和大多数消费者一样，我们很欣赏这一点。 没有人愿意拥有一台存在漏洞的设备 由于披露不遵循行业最佳实践，因此没有补丁。