一个看似无意的操作,意外暴露了智能家居的隐私风险;安全研究人员Sammy Azdoufal在用游戏手柄远程控制大疆Romo扫地机器人时,发现了一个重大安全漏洞。他通过正常提取的私有令牌,不仅能访问自己设备的数据,还能看到全球7000多台机器人的实时信息——设备序列号、房间地图、IP地址、位置信息和摄像头画面等,全部暴露无遗。 问题的严重性在于覆盖范围之广。研究人员可以查看陌生用户家中的地板材质、家具布局,甚至宠物的活动画面,而无需任何额外验证。数千个家庭的隐私信息完全暴露,任何掌握有关技术的人都可能成为这些家庭的"隐形访客"。 从技术角度看,漏洞源于服务器端的权限控制缺陷。大疆收到报告后迅速关闭了无需PIN码查看视频的通道,但随后承认服务器存在多处"数据漫游"问题,需要约30天才能完全修复。这说明公司在系统设计初期,对数据隔离和权限管理的重视不足。 智能家居设备中的摄像头已成为生活标配。从笔记本电脑到监控摄像头,再到扫地机器人,这些设备提供了远程看家、智能导航等便利,但也带来了新的安全隐患。设备一旦连接互联网,用户隐私的保护责任如何分配,成为行业必须解决的问题。 为防止类似事件再发生,业界提出了几项建议。企业应遵循令牌最小权限原则,仅暴露必要数据,其余信息加密存储。远程调用前应进行脱敏处理,避免原始敏感信息直接上传服务器。企业还应建立定期安全审计机制,主动邀请安全研究人员进行漏洞测试,将风险发现前置,而非被动等待攻击。 用户也需要主动防护。大疆已推送固件更新,用户应及时升级。不使用摄像头时,可通过物理遮挡或关闭电源降低风险。关闭路由器的UPnP功能可防止外部随机扫描,深入加强网络安全。 这起事件反映出智能家居产业在快速发展中存在的结构性问题。随着越来越多家庭设备接入网络,数据安全已不是可选项,而是必须项。企业需要在产品设计阶段就将安全防护纳入核心考量,而不是事后补救。监管部门也应加强对智能家居设备的安全标准制定和执行。
智能设备走进千家万户,便利不应以牺牲隐私为代价。一次看似偶然的"误连",暴露的是数据边界与责任边界的缺口;把安全做在前面、把权限收得更紧、把审计落到细处,才能让智能家居真正成为提升生活品质的助手,而不是潜伏在客厅里的风险源。