2026年7月2日,美国联邦调查局(FBI)查封了数百个域名。这些域名背后连接的,是超过200万台普通家庭的智能电视和电视盒子。它们被偷偷装上了恶意程序,在你完全不知情的情况下,把你的家庭网络变成了犯罪分子的”中转站”。
今年6月,安全研究员 Xe Iaso 在自己的博客上发了一篇短文,标题是”你该检查一下你的智能家电了”。文章引用了 Anubis 反爬虫系统的一组蜜罐数据:在拦截的爬虫流量中,89.3% 来自不在任何威胁监控名单上的 IP 地址——超过260万个独立 IP,全是普通家庭宽带的地址。Iaso 推测,这些流量大部分来自被劫持的智能家电:电视、冰箱、路由器,甚至数字相框。
帖子在技术社区 Lobsters 上拿了73票,但评论区暴露了一个尴尬的事实:安全圈知道这些设备不安全,问题是——怎么检查?怎么发现?怎么处理? 对此,没有人有通用答案。
图:现代家庭的智能设备都连接着互联网,每一个都可能成为攻击入口。来源:网络
不是科幻片:你的电视真的在替别人”打工”
如果你觉得”智能家电被黑”只是技术圈的杞人忧天,那么下面这些数字值得你看一眼。
2025年底,Google 安全团队披露了一个名为 BadBox 2.0 的僵尸网络。它感染了超过 1000万台 搭载安卓系统的设备——智能电视、电视盒子、平板电脑、数字投影仪。最关键的是,恶意程序并不是用户自己下载的。它出厂时就预装在设备里。你在商场或网店买的那个便宜的杂牌电视盒子,打开包装的那一刻,它就已经是犯罪网络的一个节点了。
到了2026年,又冒出来一个叫 Popa 的僵尸网络。这次规模”只有”200多万台设备,但它的商业模式更加完整:Popa 把这些被劫持设备的网络流量打包成一个叫 NetNut 的”住宅代理网络”,明码标价卖给了需要隐藏真实 IP 的人——广告欺诈团伙、撞库黑客、AI 公司的批量爬虫,甚至国家级的情报收集行动。Google 的威胁情报团队在一个星期内就观察到 316个不同的犯罪组织 在使用 NetNut 的节点。而 NetNut 的运营公司 Alarum Technologies,是一家在纳斯达克上市的以色列企业。
FBI 在今年7月2日查封了 NetNut 的域名。但查封一个域名,和拆除一个200万节点的僵尸网络,是两回事。
图:IoT 僵尸网络将千家万户的设备变成攻击工具。来源:安全研究报告
你的电视是怎么”中招”的?
买电视的时候,很少有人会把它当成一台电脑来看待。但事实是,现在的智能电视运行着完整的操作系统——Android TV、Tizen、webOS——它们和你桌上的笔记本电脑一样,有处理器、有内存、有网络连接,也有可以被攻击的漏洞。
一台普通的智能电视,通常有以下”攻击入口”:
- 出厂预装的恶意程序(BadBox 2.0 就是这个路子):在供应链环节就被植入,用户买回家那一刻就已经感染。
- 应用商店里的”特洛伊木马”:安全研究机构对 LG webOS 应用商店的调查发现,超过42%的应用内嵌了代理 SDK,能把用户的电视变成流量中转节点。三星 Tizen 平台的情况稍好,但也有超过四分之一的应用携带同样的 SDK。这些 SDK 藏在视频播放器、屏保程序、系统工具里,不会弹窗,不需要授权,装上就运行。
- 盗版电视 App:这是在 Lobsters 讨论中被多位安全从业者反复提到的一个点。很多人为了免费看剧,会在电视上安装来路不明的第三方 App。这些 App 往往夹带了恶意代码,而电视系统既没有手机那样的权限管理,也没有应用审查机制。
- 远程调试端口:部分安卓电视默认开启了 ADB 调试端口(5555端口),攻击者可以直接通过网络连入设备,获取完全控制权。2026年5月发现的 xlabs_v1 僵尸网络,就是专门扫描这个端口来招募”肉鸡”。
把这些串起来看,一条完整的攻击链就出来了:杂牌厂商压低成本,把”智能”当卖点,却不在安全上投入一分钱;第三方 SDK 供应商把代理功能打包成”广告技术”,以合法面目混入应用商店;用户为免费内容装盗版 App;犯罪分子租下这些节点,用你的家庭 IP 干他们自己的事。
为什么你家网速变慢了——被劫持的后果
一台被感染的智能电视,通常不会出现你能直接感知的异常。它不会弹窗告诉你”正在替别人干活”。但在你看不见的层面,它可能在同时做这些事:
- 充当 DDoS 攻击节点:你的电视和成千上万台其他设备一起,向某个网站发送海量请求,把它挤到瘫痪。你的宽带被占满,你只是觉得”最近网怎么这么慢”。
- 做加密流量代理:犯罪分子通过你的家庭 IP 发起攻击、发送钓鱼邮件、撞库——调查人员追查 IP 时,最后追到的是你家。
- 挖矿:虽然电视的算力有限,但凑上几万台一起挖,电量消耗分散到各家各户,电费你出,收益归他。
- 广告欺诈:在你看不见的后台,你的设备模拟用户点击广告、播放视频,帮黑产从广告主那里骗钱。
- 窃听:几乎所有智能电视都内置麦克风(用于语音控制)。2015年三星就公开承认过,其语音识别功能会将环境对话发送到第三方处理。如果电视被恶意程序控制,麦克风可以被远程激活。
图:智能电视等设备的安全漏洞可能让你的隐私暴露无遗。来源:网络
问题来了:我怎么知道自己的电视是不是有问题?
这是 Lobsters 讨论中被点赞最多的一条评论——原文作者 Iaso 也坦诚回答:没有通用方法。
为什么?因为智能电视是一个封闭系统。你没法像检查电脑一样给它装个杀毒软件,也没法查看它的进程列表。厂商不给你这个权限。
有人提议监控家庭网络中的 DNS 请求——看看你的电视在跟哪些陌生域名通信。但这招对使用 DoH(DNS-over-HTTPS,即通过加密通道查询域名)的恶意程序无效。也有人建议在路由器上检查流量日志,但这要求你有一台能刷固件的路由器,以及愿意花时间学怎么看日志——这对普通家庭用户来说门槛太高了。
安全社区的共识大致收敛到这几个点上:
第一,别装来路不明的电视 App。 尤其是所谓的”免费看全网”、“免会员追剧”类应用——它们不是慈善项目,你付出的代价可能是你的家庭网络。
第二,别把电视连上网。 这不是开玩笑。如果你用外接的 Apple TV、Chromecast 或者游戏主机来播放内容,智能电视本身的联网功能完全可以关掉。很多买了联网功能的人,实际使用中只用到 HDMI 输入——你根本没用到它的”智能”部分,却承担了全部安全风险。
第三,如果你买了便宜的杂牌安卓电视盒子,要格外小心。 这些设备是 BadBox 2.0 的重灾区——出厂即感染,你没有任何操作空间。最安全的做法是不买不知名品牌。
第四,路由器能做的不多,但总比不做强。 如果你的路由器支持”访客网络”功能,可以把智能家电单独放在访客网络上,与你的手机、电脑隔离开。这样即使电视出了问题,攻击者也没法通过它来访问你其他设备上的数据。
第五,关注电费和网速的变化。 如果你发现家里没人上网时路由器指示灯仍然狂闪,或者电费有明显异常增加,这可能是一个信号——虽然不足以确诊,但值得留意。
对抗线:便利与安全的长期拉锯
智能家电安全问题的根源,在于各方利益不一致。
对厂商来说,“智能”是提价标签。一台普通电视卖2000,加上”AI智能语音”就能卖3500——多出来的1500元,成本可能是50块钱的芯片和一套免费的开源安卓系统。至于安全更新?用户看不到,不影响销量,为什么要投入?
对用户来说,便利是真实的需求。语音搜片、手机投屏、App遥控——这些都是好用的功能。要求用户为了安全放弃便利,在消费市场上从来都不是有效策略。
对攻击者来说,智能家电是一个”完美猎物”:常年在线、性能够用、用户从不检查、厂商从不修补。一台电视可以用五到十年,而它的系统安全补丁可能在出厂后第二年就停止了。
欧盟的《网络弹性法案》(Cyber Resilience Act)要求从2027年底开始,所有在欧盟销售的联网设备必须提供安全更新、默认安全配置、漏洞公开披露。这是一个方向。但全球范围内,低价设备供应商仍然可以钻监管的空子,把不安全的硬件倾销到监管宽松的市场。
笔者在这里不去给”彻底解决”的方案——因为不存在。能做的,就是让足够多的人意识到这件事,让”我的电视可能有问题”不再是一个听起来像科幻片的想法。毕竟,安全的第一步,从来都是承认自己可能不安全。
参考链接:
- Xe Iaso: You should probably check on your smart appliances
- Lobsters 讨论 (s/slrak5)
- Google 官方博客: Taking legal action against BadBox 2.0 botnet
- Hive Security: FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
- Gblock: Your Smart TV Is Secretly Routing Hacker Traffic
- SecurityWeek: Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet