黑客把小米扫地机器人变成窃听器

一台被黑客入侵的智能扫地机器人能够监听主人的一言一行?这可不是天方夜谭。

黑客已经找到了办法,利用一种名为LidarPhone的技术(下图),把智能扫地机器人中的导航组件——激光雷达(LiDAR),变成激光麦克风。

近日,马里兰大学和新加坡国立大学的学者用LidarPhone成功将小米公司热卖的“石头”(Roborock)扫地机器人变成了窃听器。

LidarPhone攻击并不简单,需要满足某些条件。首先,攻击者将需要使用恶意软件或受设备固件更新漏洞来修改吸尘器的固件,以便控制LiDAR激光雷达组件。

之所以需要这样做,是因为LiDAR激光雷达在机器人工作时始终在旋转,这会减少攻击者可以收集的数据点数量。

通过被篡改的固件,攻击者可以停止激光雷达的旋转,并使其指向附近的一个物体(音源)上,记录其表面振动产生的声波。

此外,由于LiDAR激光雷达组件的精度远不及监视级激光麦克风,研究人员还表示,收集到的激光读数需要上载到攻击者的远程服务器中进行进一步处理,以增强和解析信号,获得人类观察者可以理解的声音(质量)。

尽管存在诸多条件限制,研究人员表示,他们已经成功地从测试的小米扫地机器人的LiDAR激光雷达导航组件中记录和获取了音频数据。

他们通过改变机器人与物体之间的距离以及声源与物体之间的距离,来测试LidarPhone技术对各种物体的攻击成效。

测试着重于恢复数值,研究小组表示,他们数据恢复的精度可达90%。

研究者表示,该技术还可以识别讲话者的性别,甚至可以根据激光雷达捕获的用户在新闻节目中播放的背景音乐来判定其政治倾向。

尽管LidarPhone攻击听起来像是对隐私的严重侵犯,但是用户暂时不必惊慌。这种复杂攻击通常不会被针对平民,因为监听普通人有很多更简单的办法,例如诱骗用户在手机上安装恶意软件。

验证LidarPhone攻击的意义在于,它提醒了个人和企业安全主管在这个物联网横行的年代,网络安全和隐私的攻击面正在不断扩大,同时也为物联网设备厂商敲响了警钟,需要将安全性提高到产品设计的层面。

最后,再次提醒各位,如果你发现扫地机器人的激光雷达不转了,很可能不是坏了,而是被黑了。

参考资料

通过扫地机器人的激光雷达窃听:

https://www.cs.umd.edu/~nirupam/images/2_publication/papers/LidarPhone_SenSys20_nirupam.pdf

上一篇:重磅 | 2020云安全联盟大中华区大会将于12月4日开幕

下一篇:绕过VPN和防火墙?苹果给自家APP留后门