黑客可遠(yuǎn)程訪問(wèn)攝像頭、麥克風(fēng)？爆款掃地機(jī)器人是否安全？公司回應(yīng)：并非“漏洞”，不影響普通用戶(hù)

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2024-08-15 11:10:41   瀏覽：3207次  

近日，科沃斯面臨隱私安全的質(zhì)疑。兩名安全研究人員丹尼斯·吉斯（Dennis Giese）和布萊恩（Braelynn）在Def Con安全大會(huì)上發(fā)布了科沃斯旗下割草機(jī)器人和掃地機(jī)器人安全漏洞，稱(chēng)攻擊者可通過(guò)這些漏洞利用設(shè)備內(nèi)置的攝像頭和麥克風(fēng)監(jiān)視用戶(hù)。

奧維云網(wǎng)（AVC）推總數(shù)據(jù)顯示，今年上半年，掃地機(jī)器人在整個(gè)清潔電器內(nèi)部占比高達(dá)41%，穩(wěn)坐清潔賽道的頭把交椅，銷(xiāo)額、銷(xiāo)量均實(shí)現(xiàn)兩位數(shù)增長(zhǎng)，分別同比增長(zhǎng)18.8%、11.9%。

據(jù)科沃斯官網(wǎng)介紹，科沃斯機(jī)器人堅(jiān)持和深化國(guó)際化戰(zhàn)略，目前，科沃斯機(jī)器人相繼在德國(guó)、美國(guó)、日本建立了銷(xiāo)售子公司，并成功開(kāi)拓了全球80多個(gè)主要國(guó)家和地區(qū)市常2016年科沃斯便成為了國(guó)內(nèi)掃地機(jī)器人銷(xiāo)量第一的品牌。

截圖自科沃斯官網(wǎng)

“家電企業(yè)在推動(dòng)產(chǎn)品智能化這一路徑上，要從意識(shí)、規(guī)劃及技術(shù)架構(gòu)上就要考慮用戶(hù)隱私安全的保護(hù)。”家電產(chǎn)業(yè)觀察家丁少將向廣州日?qǐng)?bào)記者分析指出，在這一過(guò)程中，要科學(xué)、合理地收集用戶(hù)數(shù)據(jù)，讓用戶(hù)知情并同意，對(duì)于用戶(hù)的隱私數(shù)據(jù)，對(duì)于用戶(hù)智能化體驗(yàn)沒(méi)有根本性提升的數(shù)據(jù)不要過(guò)度索齲在自身基礎(chǔ)能力還不是很完善的情況下，可以引入專(zhuān)業(yè)的第三方安全數(shù)據(jù)公司進(jìn)行數(shù)據(jù)相關(guān)的保護(hù)工作。

研究人員：130米外就能控制

可以訪問(wèn)攝像頭、麥克風(fēng)等

據(jù)南方都市報(bào)，BlackHat黑帽大會(huì)和Def Con黑客大會(huì)被譽(yù)為黑客的“世界杯”和“奧斯卡”，于上周末在美國(guó)拉斯維加斯舉行，旨在分享安全社區(qū)的最新研究、黑客技術(shù)和知識(shí)。研究人員表示他們分析了科沃斯的10多款熱銷(xiāo)設(shè)備，覆蓋掃地機(jī)器人、割草機(jī)器人和空氣凈化機(jī)器人。

上述研究人員表示，科沃斯產(chǎn)品的主要問(wèn)題在于存在一個(gè)漏洞，任何人只要使用手機(jī)，就能通過(guò)藍(lán)牙從450英尺（約130米）遠(yuǎn)的地方連接并控制科沃斯機(jī)器人。“你發(fā)送一個(gè)有效載荷，只需一秒鐘，它就會(huì)重新連接到我們的機(jī)器。例如，它可以重新連接到互聯(lián)網(wǎng)上的服務(wù)器。從那里，我們可以遠(yuǎn)程控制機(jī)器人。”丹尼斯吉斯說(shuō)，“我們可以讀取Wi-Fi憑證，我們可以讀取所有（保存的房間）地圖，訪問(wèn)攝像頭、麥克風(fēng)等等。”

上述研究人員表示，割草機(jī)器人始終開(kāi)啟藍(lán)牙，而掃地機(jī)器人在開(kāi)啟時(shí)會(huì)啟用藍(lán)牙20分鐘，并且每天自動(dòng)重啟一次，因此掃地機(jī)更難被黑客入侵。由于大多數(shù)新型科沃斯機(jī)器人都配備了至少一個(gè)攝像頭和一個(gè)麥克風(fēng)，一旦黑客控制了入侵的機(jī)器人，這些掃地機(jī)器人就可以變成“監(jiān)視工具”。同時(shí)這些機(jī)器人沒(méi)有硬件指示燈或任何其他指示燈來(lái)提醒附近的人它們的攝像頭和麥克風(fēng)已打開(kāi)。

據(jù)21財(cái)經(jīng)，“藍(lán)牙安全一直是一個(gè)老生常談的安全問(wèn)題。” 梆梆安全泰斗實(shí)驗(yàn)室負(fù)責(zé)人吳建平在接受采訪時(shí)指出，由于藍(lán)牙的配對(duì)密鑰是一個(gè)純數(shù)字的4位或6位密碼，在僅存在一萬(wàn)或一百萬(wàn)可能的情況下，現(xiàn)代計(jì)算機(jī)是可以在幾秒鐘內(nèi)就破譯成功的。

針對(duì)該底層協(xié)議漏洞，2023年藍(lán)牙公司發(fā)布了5.4版本更新，限制了短時(shí)間內(nèi)訪問(wèn)、對(duì)照密鑰的次數(shù)，一定程度上降低了藍(lán)牙連接被攻破的風(fēng)險(xiǎn)。

除了藍(lán)牙相關(guān)的漏洞外，兩位研究人員還發(fā)現(xiàn)了科沃斯產(chǎn)品的其他安全問(wèn)題，其指出，即便已刪除了用戶(hù)賬號(hào)，機(jī)器人的相關(guān)數(shù)據(jù)仍會(huì)被保存在云服務(wù)器中；用戶(hù)的身份認(rèn)證令牌也被保存在云端，這可能導(dǎo)致相關(guān)用戶(hù)在刪除賬戶(hù)后仍能訪問(wèn)設(shè)備，使得二手購(gòu)買(mǎi)機(jī)器的用戶(hù)隱私安全受到威脅。

科沃斯回應(yīng)：不必過(guò)慮

不會(huì)影響到普通用戶(hù)

8月13日下午，《每日經(jīng)濟(jì)新聞》記者參加了科沃斯“針對(duì)數(shù)據(jù)安全相關(guān)疑問(wèn)回應(yīng)”的電話會(huì)，科沃斯大中華區(qū)公關(guān)總監(jiān)馬憲彬表示，丹尼斯·吉斯和布萊恩兩位安全研究人員一直以來(lái)對(duì)我國(guó)掃地機(jī)器人企業(yè)的產(chǎn)品安全很感興趣，對(duì)國(guó)內(nèi)其他品牌的產(chǎn)品也做過(guò)一些相對(duì)應(yīng)的研究，“兩位研究員是學(xué)無(wú)線跟嵌入式設(shè)備的”。

本次事件的背景是兩位安全研究人員在美國(guó)Def Con安全大會(huì)上聲稱(chēng)要發(fā)表演講，演示如何攻擊科沃斯的設(shè)備，但目前尚未公布其演講視頻。針對(duì)上述兩位研究員做的攻擊路徑和技巧，科沃斯從去年開(kāi)始到現(xiàn)在一直在做技術(shù)上的補(bǔ)強(qiáng)，有可能突破的路徑已經(jīng)被封死，所以到目前為止兩位安全研究人員本來(lái)計(jì)劃要發(fā)布的內(nèi)容并未發(fā)布。

科沃斯方面認(rèn)為，對(duì)方指出的產(chǎn)品問(wèn)題并非“漏洞”，而是行業(yè)共同面對(duì)的問(wèn)題，即在一些驗(yàn)證連接的過(guò)程中可能會(huì)被別有用心的人“鉆空子”，但如果不用物理方式接觸公司的產(chǎn)品或者不在離產(chǎn)品比較近的范圍內(nèi)，他們無(wú)法破解。另外，對(duì)方聲稱(chēng)研究出來(lái)的攻擊方式都是對(duì)單一設(shè)備有效，不具備可復(fù)制性。

“所以我們認(rèn)為購(gòu)買(mǎi)產(chǎn)品的用戶(hù)不必為這個(gè)事過(guò)慮。至少我們現(xiàn)在掌握的情況是不會(huì)影響到普通用戶(hù)的。”馬憲彬稱(chēng)。

此外，科沃斯表示，公司一直積極優(yōu)化產(chǎn)品安全保護(hù)措施。馬憲彬表示，這種保護(hù)措施的加強(qiáng)，不是針對(duì)某個(gè)單獨(dú)的案例或者針對(duì)某個(gè)單獨(dú)的黑客或組織，是為了讓公司的安全措施更難讓攻擊者發(fā)現(xiàn)規(guī)律，從而減少不必要的風(fēng)險(xiǎn)。

目前，科沃斯使用的手段包括各種證書(shū)驗(yàn)證、安全策略、網(wǎng)絡(luò)劫持的應(yīng)對(duì)措施，以及遠(yuǎn)程代碼的執(zhí)行漏洞實(shí)時(shí)監(jiān)控更新、三方設(shè)備之間連接的健全等，科沃斯一直都在不斷地?fù)Q算法、換方式。

針對(duì)兩位研究員此次發(fā)布的“漏洞”，馬憲彬認(rèn)為，這屬于技術(shù)討論層面。在某一個(gè)特定時(shí)間，對(duì)方發(fā)現(xiàn)了一個(gè)可以入侵設(shè)備的途徑。在態(tài)度上，公司很歡迎這種限制在技術(shù)討論范圍內(nèi)的問(wèn)題。

根據(jù)科沃斯發(fā)布的2023年年報(bào)，2023年，公司總收入155.02億元人民幣，較上年增長(zhǎng) 1.16%，歸屬于上市公司股東的凈利潤(rùn)6.12億元人民幣，較上年下降63.96%。其中，境內(nèi)營(yíng)業(yè)收入89.8億元，同比下滑11.43%；境外營(yíng)業(yè)收入65.22億元，同比增長(zhǎng)25.76%。

編輯|王月龍杜恒峰

校對(duì)|段煉

每日經(jīng)濟(jì)新聞綜合自公開(kāi)信息、廣州日?qǐng)?bào)、南方都市報(bào)、21財(cái)經(jīng)、每經(jīng)網(wǎng)（記者程雅）

每日經(jīng)濟(jì)新聞

贊助本站