黑客可远程访问摄像头、麦克风?爆款扫地机器人是否安全?公司回应:并非“漏洞”
每日经济新闻 2024-08-14 17:23

近日,科沃斯面临隐私安全的质疑。两名安全研究人员丹尼斯・吉斯(Dennis Giese)和布莱恩(Braelynn)在Def Con安全大会上发布了科沃斯旗下割草机器人和扫地机器人安全漏洞,称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。

奥维云网(AVC)推总数据显示,今年上半年,扫地机器人在整个清洁电器内部占比高达41%,稳坐清洁赛道的头把交椅,销额、销量均实现两位数增长,分别同比增长18.8%、11.9%。

据科沃斯官网介绍,科沃斯机器人坚持和深化国际化战略,目前,科沃斯机器人相继在德国、美国、日本建立了销售子公司,并成功开拓了全球80多个主要国家和地区市场。2016年科沃斯便成为了国内扫地机器人销量第一的品牌。

截图自科沃斯官网

“家电企业在推动产品智能化这一路径上,要从意识、规划及技术架构上就要考虑用户隐私安全的保护。”家电产业观察家丁少将向广州日报记者分析指出,在这一过程中,要科学、合理地收集用户数据,让用户知情并同意,对于用户的隐私数据,对于用户智能化体验没有根本性提升的数据不要过度索取。在自身基础能力还不是很完善的情况下,可以引入专业的第三方安全数据公司进行数据相关的保护工作。

研究人员:130米外就能控制

可以访问摄像头、麦克风等

据南方都市报,BlackHat黑帽大会和Def Con黑客大会被誉为黑客的“世界杯”和“奥斯卡”,于上周末在美国拉斯维加斯举行,旨在分享安全社区的最新研究、黑客技术和知识。研究人员表示他们分析了科沃斯的10多款热销设备,覆盖扫地机器人、割草机器人和空气净化机器人。

上述研究人员表示,科沃斯产品的主要问题在于存在一个漏洞,任何人只要使用手机,就能通过蓝牙从450英尺(约130米)远的地方连接并控制科沃斯机器人。“你发送一个有效载荷,只需一秒钟,它就会重新连接到我们的机器。例如,它可以重新连接到互联网上的服务器。从那里,我们可以远程控制机器人。”丹尼斯·吉斯说,“我们可以读取Wi-Fi凭证,我们可以读取所有(保存的房间)地图,访问摄像头、麦克风等等。”

上述研究人员表示,割草机器人始终开启蓝牙,而扫地机器人在开启时会启用蓝牙20分钟,并且每天自动重启一次,因此扫地机更难被黑客入侵。由于大多数新型科沃斯机器人都配备了至少一个摄像头和一个麦克风,一旦黑客控制了入侵的机器人,这些扫地机器人就可以变成“监视工具”。同时这些机器人没有硬件指示灯或任何其他指示灯来提醒附近的人它们的摄像头和麦克风已打开。

据21财经,“蓝牙安全一直是一个老生常谈的安全问题。” 梆梆安全泰斗实验室负责人吴建平在接受采访时指出,由于蓝牙的配对密钥是一个纯数字的4位或6位密码,在仅存在一万或一百万可能的情况下,现代计算机是可以在几秒钟内就破译成功的。

针对该底层协议漏洞,2023年蓝牙公司发布了5.4版本更新,限制了短时间内访问、对照密钥的次数,一定程度上降低了蓝牙连接被攻破的风险。

除了蓝牙相关的漏洞外,两位研究人员还发现了科沃斯产品的其他安全问题,其指出,即便已删除了用户账号,机器人的相关数据仍会被保存在云服务器中;用户的身份认证令牌也被保存在云端,这可能导致相关用户在删除账户后仍能访问设备,使得二手购买机器的用户隐私安全受到威胁。

科沃斯回应:不必过虑

不会影响到普通用户

8月13日下午,《每日经济新闻》记者参加了科沃斯“针对数据安全相关疑问回应”的电话会,科沃斯大中华区公关总监马宪彬表示,丹尼斯・吉斯和布莱恩两位安全研究人员一直以来对我国扫地机器人企业的产品安全很感兴趣,对国内其他品牌的产品也做过一些相对应的研究,“两位研究员是学无线跟嵌入式设备的”。

本次事件的背景是两位安全研究人员在美国Def Con安全大会上声称要发表演讲,演示如何攻击科沃斯的设备,但目前尚未公布其演讲视频。针对上述两位研究员做的攻击路径和技巧,科沃斯从去年开始到现在一直在做技术上的补强,有可能突破的路径已经被封死,所以到目前为止两位安全研究人员本来计划要发布的内容并未发布。

科沃斯方面认为,对方指出的产品问题并非“漏洞”,而是行业共同面对的问题,即在一些验证连接的过程中可能会被别有用心的人“钻空子”,但如果不用物理方式接触公司的产品或者不在离产品比较近的范围内,他们无法破解。另外,对方声称研究出来的攻击方式都是对单一设备有效,不具备可复制性。

“所以我们认为购买产品的用户不必为这个事过虑。至少我们现在掌握的情况是不会影响到普通用户的。”马宪彬称。

此外,科沃斯表示,公司一直积极优化产品安全保护措施。马宪彬表示,这种保护措施的加强,不是针对某个单独的案例或者针对某个单独的黑客或组织,是为了让公司的安全措施更难让攻击者发现规律,从而减少不必要的风险。

目前,科沃斯使用的手段包括各种证书验证、安全策略、网络劫持的应对措施,以及远程代码的执行漏洞实时监控更新、三方设备之间连接的健全等,科沃斯一直都在不断地换算法、换方式。

针对两位研究员此次发布的“漏洞”,马宪彬认为,这属于技术讨论层面。在某一个特定时间,对方发现了一个可以入侵设备的途径。在态度上,公司很欢迎这种限制在技术讨论范围内的问题。

根据科沃斯发布的2023年年报,2023年,公司总收入155.02亿元人民币,较上年增长 1.16%,归属于上市公司股东的净利润6.12亿元人民币,较上年下降63.96%。其中,境内营业收入89.8亿元,同比下滑11.43%;境外营业收入65.22亿元,同比增长25.76%。

每日经济新闻综合自公开信息、广州日报、南方都市报、21财经、每经网(记者 程雅)

编辑/樊宏伟

最新评论