掃地機器人“叛變”了

電子發(fā)燒友網(wǎng)報道（文/黃山明）如今不少家庭都已經(jīng)習(xí)慣了掃地機器人的便捷，相比自己每天親自打掃，有了掃地機器人的清理顯然要方便的多。但是怎么也沒有想到，掃地機器人有一天居然會“叛變”。

初見端倪

近期，美國軟件工程師Harishankar Narayanan在其個人博客上發(fā)布了一篇《The Day My Smart Vacuum Turned Against Me》（掃地機器人背叛了我）的文章。

之所以發(fā)布這樣一篇文章，是因為在2024年，Harishankar購買了一臺iLife A11智能掃地機器人，平時都挺好用，能自動規(guī)劃路線、繪制房間地圖。

但有一天，Harishankar發(fā)現(xiàn)這臺掃地機器人突然停止了工作，無論充電、重啟都毫無反應(yīng)，送去檢修，廠商卻表示這臺設(shè)備“一切正常”。但奇怪的是，拿回家后，用了幾天它又自己“死機”了。

Harishankar懷疑，這臺設(shè)備出現(xiàn)問題，可能與自己近期的做的一項事情有關(guān)，那便是此前在路由器上屏蔽了這臺掃地機器人與外部服務(wù)器的通信。

將掃地機器人重啟之后發(fā)現(xiàn)，只要允許它訪問互聯(lián)網(wǎng)，便會立刻恢復(fù)正常。而一旦斷網(wǎng)，又陷入到了死機狀態(tài)，就像是被遠程“鎖死”了一樣。就這樣重復(fù)了3-4次后，由于保修過期，廠商拒絕了維修。因此，Harishankar決定把這臺掃地機器人拆開看看。

一探究竟

拆開后發(fā)現(xiàn)這臺掃地機器人的內(nèi)部結(jié)構(gòu)還是比較復(fù)雜的，主控板是一顆全志A33 SoC，常見于平板電腦。系統(tǒng)運行的是TinaLinux，全志在嵌入式設(shè)備上使用的一個輕量版Linux發(fā)行版。

旁邊還有一顆GD32F103 MCU，負責管理傳感器數(shù)據(jù)，包括激光雷達、陀螺儀、編碼器以及一些紅外與碰撞傳感器傳輸?shù)臄?shù)據(jù)。

這套系統(tǒng)結(jié)構(gòu)很像一個“小型機器人平臺”，A33運行主邏輯和地圖構(gòu)建算法，而GD32F103控制運動與傳感器輸入。

與此同時，Harishankar還從主控芯片中提取出固件鏡像，并在文件系統(tǒng)中發(fā)現(xiàn)了幾個令人警覺的東西。一個是rtty守護進程，這是一個遠程終端工具，允許廠商通過云端直接接入設(shè)備終端。換句話說，這個進程可以讓廠商在不經(jīng)過用戶的同意，進入系統(tǒng)執(zhí)行命令。

還有ADB（Android Debug Bridge）端口也是開放的，也讓設(shè)備對外暴露了一個root權(quán)限的調(diào)試接口，無需認證。只需要通過ADB connect，就能夠獲得設(shè)備完全的控制權(quán)，這也意味著任何能夠發(fā)現(xiàn)設(shè)備IP的人都能夠做到這一點。

有趣的是，Harishankar還在系統(tǒng)日志中發(fā)現(xiàn)了一條異常的指令“RS_CTRL_REMOTE_EVENT”，在設(shè)備停止工作的那一刻，這條指令便出現(xiàn)在了日志當中，隨后掃地機器人便徹底停止了響應(yīng)。對此，該工程師推測這是一個廠商的遠程控制命令，用于“遠程禁用”。

水落石出

為了驗證自己的推測，Harishankar恢復(fù)了這臺掃地機器人的聯(lián)網(wǎng)，并對所有流量進行監(jiān)控，結(jié)果發(fā)現(xiàn)它每隔幾分鐘就向3irobotix服務(wù)器（非iLife官方服務(wù)器）上傳數(shù)據(jù)。

這些數(shù)據(jù)包括完整的3D室內(nèi)地圖，使用Google Cartographer SLAM（即時定位與地圖構(gòu)建技術(shù)）技術(shù)生成，精確到家具位置、入口/出口、盲點，還有移動路徑、清潔模式、家居布局、用戶生活習(xí)慣，以及遙測日志、傳感器數(shù)據(jù)等。

而當Harishankar使用路由器屏蔽了這些上傳行為后，設(shè)備突然停止了工作，并再次顯示了那條代碼。因此可以斷定，當掃地機器人檢測到無法上傳數(shù)據(jù)時，便觸發(fā)了遠程停用。

隨后，工程師在固件中發(fā)現(xiàn)了一段腳本，確實包含了“遠程關(guān)閉”邏輯。對該腳本進行修改后，讓設(shè)備忽略遠程停用指令，具體就是在/usr/bin/cloudctl中，注釋掉disable_device()調(diào)用，并手動刪除遠程服務(wù)啟動項，最后重新打包固件，寫回系統(tǒng)，果不其然，該掃地機器人又重新復(fù)活了。

當前，Harishankar還在GitHub中持續(xù)更新調(diào)查，包括反編譯固件、自定義Python腳本（實現(xiàn)離線控制，如手動導(dǎo)航、傳感器接口）。他構(gòu)建了備用控制系統(tǒng)：用Raspberry Pi或自定義硬件替換主板，繞過云依賴，實現(xiàn)純本地運行（無需App，靠腳本管理電機/傳感器）。

同時在拆解分析過程中，掃地機器人系統(tǒng)運行了系統(tǒng)運行了Google Cartographer（一種用于SLAM的開源算法），它會根據(jù)雷達數(shù)據(jù)實時繪制房間地圖，并將地圖文件上傳到云端進行融合或優(yōu)化。這意味著廠商實際上在遠程同步用戶家中的地圖副本。

至于為何每次去維修之后掃地機器人都會重新恢復(fù)工作，一方面在于維修時掃地機器人會重新聯(lián)網(wǎng)，另一方面售后也會將機器人固件重置，無意中清除了那條遠程關(guān)閉的指令。而拿回來工作幾天后，發(fā)現(xiàn)還是無法將數(shù)據(jù)重新上傳給廠商，因此再次觸發(fā)了“宕機”指令。

后續(xù)與廠商回應(yīng)

對于此次的發(fā)現(xiàn)，Harishankar表示，原以為自己購買的是一臺機器人清潔工具，但實際上卻是一個由廠商遠程管理、可被停用的網(wǎng)絡(luò)節(jié)點，這讓他感到非常的不安。

這一事件也引起了歐美的廣泛報道，有安全研究者表示這是“典型云強制案例”，呼吁歐盟GDPR/美國CCPA進行調(diào)查。

后續(xù)，Harishankar也在近期聯(lián)系到了iLife，但尚未獲正式回復(fù)。主控SoC供應(yīng)商全志則表示，僅提供硬件參考設(shè)計，并不參與終端用戶軟件開發(fā)。

IoT設(shè)備的遠程控制和隱性數(shù)據(jù)上傳也并非iLife獨有，類似架構(gòu)在多個品牌的智能設(shè)備中普遍存在。包括智能電視、路由器/攝像頭、電動車等。

知名網(wǎng)絡(luò)安全企業(yè)Forescout今年4月發(fā)布了一份報告顯示，全球平均設(shè)備風險指數(shù)同比上漲15%至8.98，創(chuàng)歷史新高。網(wǎng)絡(luò)攻擊面已從傳統(tǒng)IT設(shè)備向OT、IoMT領(lǐng)域快速擴張，路由器仍占據(jù)高風險設(shè)備總量的53%，而醫(yī)療物聯(lián)網(wǎng)設(shè)備首次成為風險增長最快的類別。

IDC 預(yù)測，今年連接的物聯(lián)網(wǎng)設(shè)備將超過800億個。據(jù)IDC的數(shù)據(jù)顯示，具有互聯(lián)網(wǎng)接入能力的設(shè)備（如構(gòu)成物聯(lián)網(wǎng)的計算機、傳感器和攝像頭）的數(shù)量正穩(wěn)步增長。IDC還指出，當41.6億個物聯(lián)網(wǎng)設(shè)備連接時，將產(chǎn)生79.4澤字節(jié)的數(shù)據(jù)，這其中包括了來自數(shù)萬億傳感器的各項輸出。物聯(lián)網(wǎng)對企業(yè)和消費者均有深遠的影響。

如何界定網(wǎng)絡(luò)數(shù)據(jù)安全的邊界，以及如何限制設(shè)備廠商對賣出設(shè)備的過度聯(lián)網(wǎng)權(quán)，明確這臺設(shè)備歸屬權(quán)到底是誰，需要整個行業(yè)都進行仔細的考量。

總結(jié)

Harishankar通過自身工程師的習(xí)慣，察覺到了掃地機器人的異常情況，并抽絲剝繭發(fā)現(xiàn)真相，最后實現(xiàn)了真正的離線運行。但對于許多普通消費者而言，并沒有這樣的工程能力，還是需要行業(yè)制定更嚴格的標準，將IoT設(shè)備的真正歸屬權(quán)還給消費者。