Google 上個月正式關閉了早期 Nest Learning Thermostat 的遠程控制功能,不過這並未阻止它從這些降級設備中收集數據。安全研究人員 Cody Kociemba 在深入研究後端時發現,第一代和第二代的 Nest Learning Thermostat 仍然在向 Google 發送有關手動溫度變更、房間內是否有人、陽光是否照射到設備等信息。
Kociemba 是在參加由 FULU 組織的獎勵計劃時發現了這一情況,FULU 是一個由電子維修技術人員及 YouTuber Louis Rossmann 共同創辦的維修權益倡導組織。FULU 鼓勵開發者提出解決方案,以恢復 Google 不再支持的 Nest 設備的智能功能,而 Kociemba 的開源 No Longer Evil 項目正是這樣的解決方案。
然而,在克隆 Google 的 API 以創建這款自定義軟件後,他開始接收到大量來自客戶設備的日誌數據,隨後將其關閉。Kociemba 表示:「在這些設備上,雖然 Google 關閉了遠程控制的訪問權限,但他們仍然保留了設備上傳日誌的能力。而這些日誌內容相當詳細。」
除了阻止用戶遠程控制早期的 Nest Learning Thermostat(包括 2014 年的歐洲版本)外,Google 還關閉了用戶從 Nest 或 Google Home 應用檢查設備狀態的功能,同時阻止了安全和軟件更新。Google 指出,這些不再受支持的設備「將繼續報告日誌以進行故障診斷」,不過公司所收集的數據似乎不再有用。
Kociemba 表示:「雖然這些日誌可能包含 HVAC 錯誤狀態等技術細節,但 Google 已經無法利用這些信息來幫助仍然依賴這些恆温器的客戶,因為支持服務已經完全停止,即使是設備故障的情況也是如此。」
Google 仍然獲取 Nest Learning Thermostat 收集的所有信息,包括由其傳感器測量的數據,如溫度、濕度、環境光和運動。Kociemba 說:「我原以為 Google 的連接會隨著遠程功能的關閉而中斷,但事實上這個連接並未中斷,而是一個單向通道。」The Verge 聯繫了 Google 要求置評,但尚未收到回應。
FULU 向 Kociemba 和另一位名為 Team Dinosaur 的獲獎者頒發了 $14,772 / 約 HK$ 115,000 的獎金,以獎勵他們為不再受支持的恆温器恢復智能功能。
