有段时间我总拿“现实离《看门狗》不远了”当玩笑,直到最近看到一个真事儿——这次的主角不是黑客,而是一个只想在客厅里玩玩扫地机的玩家。
说这位老哥,叫萨米·阿兹杜法尔(Sammy Azdoufal),刚买了台大疆的 Romo 扫地机器人,出于玩家的手痒天性,他不满足于官方 App,干脆自己开发了一个小程序,想用 PS5 手柄来遥控家里的扫地机,体验一下“用手柄开实物”的爽感。
结果呢,本来只是想让自家扫地机器人在客厅转两圈,他却突然发现:自己手里这套登录凭证,不仅能连上自家的 Romo,还能把权限一路开到全球几十个国家的其他设备上。
后面发生的事,就有点科幻变惊悚了。
根据相关报道,在测试过程中他发现,用来操控他自己那一台扫地机的访问令牌,居然可以用来查看近 24 个国家、将近 7000 台扫地机器人的数据。这不是“看几个状态信息”这么简单,而是实打实的深度访问权限。
这些意外被打开的功能里,包括什么?
- 远程操控设备本身
- 调取实时摄像头画面
- 通过麦克风监听环境声音
- 查看扫地机器人记录的房屋详细地图
- 获取各种设备运行数据
简单翻译一下:如果这是你家设备,别人就能在远程看到你家房间布局、你什么时候在家、家里有没有人活动等一堆细节。对普通用户来说,这已经不是“玩笑级”安全问题了,而是直接把生活起居摊在别人屏幕上。
问题出在哪?并不是 PS5 手柄本身搞了什么幺蛾子,而是后端服务器的权限控制出了大坑。
有技术背景的同学应该已经能猜到:报道里提到,这是一个服务端权限漏洞——只要用某个设备的令牌完成一次身份验证,系统就没有把权限严格限制在那一台机器上,反而会返回其他大量设备的数据。等于说,只要你拿到一个“通行证”,后台就默认为你对一大片设备都有访问资格。
更夸张的是,阿兹杜法尔后来还演示了一个实际场景:他只用一个设备序列号,就能定位到一名记者用来测试的扫地机,查看这台设备的电池电量,还能远程生成这位记者家里的房屋地图——这已经非常接近“真人版地图探查”了。
大疆方面的回应也同步出来了:他们表示在 1 月下旬通过内部审查发现了影响“大疆 Home”(自家的智能家居系统)的这个漏洞,并立刻启动修复。随后通过系统更新的方式把漏洞补上。
从厂商处理节奏来看,发现问题—修复—更新,这条流程算是按规矩来的。但事情曝光之后,讨论就已经不局限在这一个型号、这一个品牌了,而是把大家对“智能家居”这几个字的隐私焦虑又放大了一次。
很多朋友印象里,扫地机器人顶多就是个“懒人清洁助手”,结果这一波给大家补了个课:只要是联网的智能设备,理论上都可能成为某种“传感器”——帮你记录环境、收集数据,而一旦权限管理做得不严,或者被黑客盯上,这些东西就不再只是冷冰冰的参数,而是你生活的一部分被人看光。
类似的事情之前也不是没有。2023 年,有位母亲就公开提醒过大家:她家孩子用的婴儿监视器被陌生人入侵,对方在半夜居然直接通过设备跟孩子说话。你可以想象那种场景有多让人后背发凉。
回到我们玩家视角,这事儿有几个点挺值得聊聊:
- 用 PS5 手柄控制扫地机器人,这本来是一个很典型的“玩家折腾精神”,把游戏设备和现实硬件连起来,边玩边创造乐趣
- 真正吓人的不在“玩法”,而在背后那套云端系统到底把你的设备当成什么、把你的数据怎么管
- 很多智能家居产品卖点是“全屋互联”“智能联动”,但每多一个设备接入家里的网络,你就多了一个潜在入口
那问题来了:用 PS5 手柄就能顺带操控全球数千台扫地机器人,甚至窥视别人家里,这样的现实版“看门狗”时刻,你还敢完全无脑地把家里交给智能设备吗?
我自己的看法偏中间一些:不至于一听到智能家居就谈虎色变,但也绝对不建议“完全放弃警惕”。简单几个小建议,给经常玩游戏、又爱搞智能设备的朋友参考:
- 能不用云端就实现的功能,优先考虑本地控制
- 不常用的远程访问权限,能关就关
- 设备初始密码、默认账号这种,一定记得改
- 固件更新别嫌烦,很多时候补的就是这种致命漏洞
这次事件的技术细节,未来估计还会被安全圈反复拿出来分析。但对我们普通玩家来说,更重要的是把这当成一次现实提醒:当你用手柄控制的不再只是屏幕里的角色,而是现实世界的设备时,乐趣之外,安全意识也得跟上。
关于这些智能设备的安全,你怎么看?你家里现在装了多少“能上网的家电”?有没有哪一刻突然觉得它们有点“太懂你”了?欢迎在评论区聊聊你的经历和想法。
