想象一下:你躺在自家草坪上晒太阳,一台200磅重的割草机器人正朝你驶来。你想按急停按钮,但它在6000公里外——被一个黑客控制着。
这不是恐怖片,这是真实发生的事情。
安全研究员Andreas Makris在地球另一端,通过互联网接管了一台在美国运行的Yarbo割草机器人。这台价值5000美元的机器,上面装着刀片,正准备从他身上碾过去。
5000美元买了个定时炸弹
Yarbo是个什么公司?做智能割草机器人的中国企业,产品线包括割草机、清雪机、除草机,听起来挺智能的。但安全研究员发现的东西一点都不智能——恰恰相反,简直是在裸奔。
Makris告诉The Verge:"我能对这些机器人做任何事。完全没有任何安全防护。"
这话说得很直白,但事实更直白:全球数万台Yarbo机器人,理论上都可以被他接管。无论配置的是割草模块、清雪模块还是除草模块,只要联网,就在他的控制范围内。
这不是第一次了
你可能还记得,之前有人曝光过DJI Romo扫地机器人的类似漏洞——同样是中国企业,同样的MQTT协议问题,同样的远程控制风险。
当时大家可能觉得,扫地机器人嘛,顶多就是撞撞墙、扫扫地,能有什么危险?但割草机器人不一样,它上面装的是刀片,是真正能伤人的工具。
200磅的重量,加上高速旋转的刀片——这不是扫地机器人,是客厅里的电锯。
物联网安全的老问题
这类事件的根源都一样:厂商在设计产品时,只想着功能怎么实现,根本没想过安全问题。MQTT协议默认不需要认证,设备出厂时用的是弱密码,云端通信不加密——这些都是基本功,但很多IoT厂商就是不做。
原因很简单:安全是要花钱的,而消费者又不了解这些问题,买东西只看功能表。厂商为什么要多花这笔钱?
直到出了事,才知道疼。
我们能做什么?
说实话,个人能做的有限。你不能退货给厂家,也不能自己修好漏洞。唯一能做的,就是买之前多查查这个厂商有没有安全漏洞的记录,有的话就别碰。
但更根本的问题在于监管。物联网设备现在已经是家庭的一部分,但监管还远远跟不上。欧盟的GDPR管得了数据,但管不了你家那个会被人远程碾过来的割草机。
下次买智能设备的时候,除了看功能,还得想想:万一这东西被人黑了,会发生什么?
如果答案让你不舒服,那就别买。这个逻辑听起来很无奈,但可能是目前最实用的建议。