11 月 2 日消息，如今智能家居设备越来越丰富，但是对隐私的侵犯也愈发肆无忌惮，甚至不允许收集数据就不让你用！美国工程师 Harishankar 有一台iLife A11 智能扫地机器人，配备全志 A33 SoC 芯片，以及 GD32F103 微控制器，用于管理激光雷达、陀螺仪、编码器等众多传感器，还有 TinaLinux 系统。在监控网络流量后，Harishankar 发现它一直在向厂商发送日志和遥测数据，而且从未经过他的同意。

于是，他屏蔽了遥测服务器的 IP 地址，只保留固件和 OTA 升级服务器的连接。结果没多久，扫地机器人罢工了。

Harishankar 多次将其送往售后服务中心，工作人员每次都坚称设备没有任何问题，但是每次回到家中，都只能正常工作几天就再次罢工。最后，售后中心干脆拒绝提供服务，称已经过了保修期。Harishankar 一气之下决定自己研究，拆开设备，自行制作了 PCB 连接器，编写了 Python 脚本，通过电脑进行控制、逐一测试。真相也随之浮出水面：这款设备不仅存在严重的安全隐患，还像「黑洞」一样盗取他的个人数据。首先，设备的 Android Debug Bridge 可以让用户获得设备的完全 root 权限，但这项功能没有设置任何加密保护。随后，他还发现设备会通过 Google Cartographer 技术，实时构建家中的 3D 地图，本来没啥，但这些数据都会发到厂商服务器。最可怕的是，Harishankar 在日志中发现了一条带有时间戳的指令，恰好与罢工的时间完全吻合，显然就是那条「死亡指令」！

Harishankar 反向破解了这条指令，重启设备后，成功恢复了正常运行，而且完全本地离线运行，摆脱了厂商的控制。可惜，不是每个人都有这种工程能力。至于为何扫地机器人在售后服务中心一切正常，回家没多久就再次无法工作，其实也很简单：售后人员会重置固件，顺带无意中清除了死亡指令，但是设备再次联网后，检测到遥测服务器被屏蔽，厂商拿不到数据，就会远程使之「变砖」。（来源：快科技）