WHILL电动轮椅身份验证漏洞曝光：用户面临远程攻击风险

WHILL电动轮椅发现未授权访问漏洞

西班牙国家网络安全研究所（INCIBE）近日发布紧急警报，披露WHILL电动轮椅存在一项严重安全漏洞。该漏洞于2026年1月2日被发现，允许未经身份验证的攻击者远程控制受影响设备，对用户的安全与隐私构成严重威胁。

技术细节

该漏洞源于WHILL轮椅控制系统中缺乏身份验证机制。攻击者在设备附近或通过网络访问可利用此漏洞实施以下操作：

• 发送未授权指令，控制轮椅的电机和控制系统
• 覆盖用户输入，可能导致轮椅突然移动或停止
• 未经授权访问敏感遥测数据

INCIBE尚未公布具体的CVE编号，但因该漏洞可能造成人身伤害和隐私泄露，已被归类为高危漏洞。受影响的具体型号尚未公开，但预计涉及WHILL具备远程控制功能的联网轮椅产品线。

影响分析

该漏洞带来多重风险：

• 人身安全：攻击者可操控轮椅移动，导致事故或伤害。
• 隐私泄露：未授权访问遥测数据可能暴露用户位置、使用习惯等敏感信息。
• 运行中断：恶意行为者可禁用或劫持轮椅，影响用户出行。

此漏洞在医疗机构、智能家居或公共场所等部署WHILL轮椅的环境中尤为危险，攻击者可能大规模利用该漏洞。

缓解建议

INCIBE和WHILL呼吁用户及管理员立即采取以下措施：

1. 安装补丁：WHILL预计将发布固件更新以修复身份验证漏洞，用户应及时安装。
2. 网络隔离：将轮椅部署在专用、防火墙保护的网络中，限制未授权访问。
3. 物理安全：在高风险环境中限制对轮椅的物理接触，防止本地化攻击。
4. 异常监控：启用日志记录和监控，检测异常控制指令或遥测数据访问。
5. 联系WHILL支持：用户应向WHILL技术团队确认其轮椅型号的漏洞状态及补丁适用性。

更多详情，请参阅INCIBE的官方安全公告。

本文为持续更新报道，相关技术细节及补丁发布后将及时补充。