研究人员警告称，Ecovacs制造的吸尘和割草机器人存在被黑客入侵的风险，可能被用来监视其主人。公司随后表示将修复这些漏洞。

在最近的Def Con黑客大会上，安全研究员Dennis Giese和Braelynn解释说，攻击者可以利用Ecovacs制造的吸尘和割草机器人中的漏洞，进行间谍活动。

研究人员分析了以下设备：Ecovacs Deebot 900系列、Deebot N8/T8、Deebot N9/T9、Deebot N10/T10、Deebot X1、Deebot T20、Deebot X2、Goat G1、Spybot Airbot Z1、Airbot AVA和Airbot ANDY。

专家发现了一系列漏洞，可能允许威胁者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光显示其摄像头和麦克风是否开启。

“他们的安全性非常、非常、非常差。” Giese在接受TechCrunch采访时说道。

研究人员发现的其中一个问题是，Ecovacs机器人允许任何在450英尺范围内的人通过蓝牙接管设备。一旦攻击者控制了设备，他们可以通过Wi-Fi连接远程访问机器人，从而获取敏感数据，如Wi-Fi凭证、保存的房间地图，甚至访问摄像头和麦克风。

Giese解释说，Ecovacs的割草机器人始终开启蓝牙，而吸尘机器人仅在开机后20分钟和每天自动重启一次时启用蓝牙，因此相对更难以被黑客入侵。尽管某些型号在摄像头开启时每五分钟会播放一次音频提示，但黑客可以轻松删除此文件，使其无法被察觉。

两位研究人员还发现了Ecovacs设备的其他问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍然保存在Ecovacs的云服务器上，这可能允许未经授权的访问，并可能导致对二手设备用户的监视。此外，割草机器人的防盗PIN码以明文形式存储在设备中，攻击者可以轻易获取并滥用它。此外，一旦Ecovacs机器人被攻破，它还有可能被用来攻击其他附近的Ecovacs机器人。

起初，Ecovacs的发言人告诉TechCrunch，公司不会解决研究人员发现的漏洞。几周后，该供应商宣布将修复这些问题。