黑客可遠程訪問攝像頭、麥克風?爆款掃地機器人是否安全?公司迴應:並非“漏洞”,不影響普通用戶
近日,科沃斯面臨隱私安全的質疑。兩名安全研究人員丹尼斯・吉斯(Dennis Giese)和布萊恩(Braelynn)在Def Con安全大會上發佈了科沃斯旗下割草機器人和掃地機器人安全漏洞,稱攻擊者可通過這些漏洞利用設備內置的攝像頭和麥克風監視用戶。
奧維雲網(AVC)推總數據顯示,今年上半年,掃地機器人在整個清潔電器內部佔比高達41%,穩坐清潔賽道的頭把交椅,銷額、銷量均實現兩位數增長,分別同比增長18.8%、11.9%。
據科沃斯官網介紹,科沃斯機器人堅持和深化國際化戰略,目前,科沃斯機器人相繼在德國、美國、日本建立了銷售子公司,併成功開拓了全球80多個主要國家和地區市場。2016年科沃斯便成爲了國內掃地機器人銷量第一的品牌。
截圖自科沃斯官網
“家電企業在推動產品智能化這一路徑上,要從意識、規劃及技術架構上就要考慮用戶隱私安全的保護。”家電產業觀察家丁少將向廣州日報記者分析指出,在這一過程中,要科學、合理地收集用戶數據,讓用戶知情並同意,對於用戶的隱私數據,對於用戶智能化體驗沒有根本性提升的數據不要過度索取。在自身基礎能力還不是很完善的情況下,可以引入專業的第三方安全數據公司進行數據相關的保護工作。
研究人員:130米外就能控制
可以訪問攝像頭、麥克風等
據南方都市報,BlackHat黑帽大會和Def Con黑客大會被譽爲黑客的“世界盃”和“奧斯卡”,於上週末在美國拉斯維加斯舉行,旨在分享安全社區的最新研究、黑客技術和知識。研究人員表示他們分析了科沃斯的10多款熱銷設備,覆蓋掃地機器人、割草機器人和空氣淨化機器人。
上述研究人員表示,科沃斯產品的主要問題在於存在一個漏洞,任何人只要使用手機,就能通過藍牙從450英尺(約130米)遠的地方連接並控制科沃斯機器人。“你發送一個有效載荷,只需一秒鐘,它就會重新連接到我們的機器。例如,它可以重新連接到互聯網上的服務器。從那裡,我們可以遠程控制機器人。”丹尼斯·吉斯說,“我們可以讀取Wi-Fi憑證,我們可以讀取所有(保存的房間)地圖,訪問攝像頭、麥克風等等。”
上述研究人員表示,割草機器人始終開啓藍牙,而掃地機器人在開啓時會啓用藍牙20分鐘,並且每天自動重啓一次,因此掃地機更難被黑客入侵。由於大多數新型科沃斯機器人都配備了至少一個攝像頭和一個麥克風,一旦黑客控制了入侵的機器人,這些掃地機器人就可以變成“監視工具”。同時這些機器人沒有硬件指示燈或任何其他指示燈來提醒附近的人它們的攝像頭和麥克風已打開。
據21財經,“藍牙安全一直是一個老生常談的安全問題。”梆梆安全泰斗實驗室負責人吳建平在接受採訪時指出,由於藍牙的配對密鑰是一個純數字的4位或6位密碼,在僅存在一萬或一百萬可能的情況下,現代計算機是可以在幾秒鐘內就破譯成功的。
針對該底層協議漏洞,2023年藍牙公司發佈了5.4版本更新,限制了短時間內訪問、對照密鑰的次數,一定程度上降低了藍牙連接被攻破的風險。
除了藍牙相關的漏洞外,兩位研究人員還發現了科沃斯產品的其他安全問題,其指出,即便已刪除了用戶賬號,機器人的相關數據仍會被保存在雲服務器中;用戶的身份認證令牌也被保存在雲端,這可能導致相關用戶在刪除賬戶後仍能訪問設備,使得二手購買機器的用戶隱私安全受到威脅。
科沃斯迴應:不必過慮
不會影響到普通用戶
8月13日下午,《每日經濟新聞》記者參加了科沃斯“針對數據安全相關疑問迴應”的電話會,科沃斯大中華區公關總監馬憲彬表示,丹尼斯・吉斯和布萊恩兩位安全研究人員一直以來對我國掃地機器人企業的產品安全很感興趣,對國內其他品牌的產品也做過一些相對應的研究,“兩位研究員是學無線跟嵌入式設備的”。
本次事件的背景是兩位安全研究人員在美國Def Con安全大會上聲稱要發表演講,演示如何攻擊科沃斯的設備,但目前尚未公佈其演講視頻。針對上述兩位研究員做的攻擊路徑和技巧,科沃斯從去年開始到現在一直在做技術上的補強,有可能突破的路徑已經被封死,所以到目前爲止兩位安全研究人員本來計劃要發佈的內容並未發佈。
科沃斯方面認爲,對方指出的產品問題並非“漏洞”,而是行業共同面對的問題,即在一些驗證連接的過程中可能會被別有用心的人“鑽空子”,但如果不用物理方式接觸公司的產品或者不在離產品比較近的範圍內,他們無法破解。另外,對方聲稱研究出來的攻擊方式都是對單一設備有效,不具備可複製性。
“所以我們認爲購買產品的用戶不必爲這個事過慮。至少我們現在掌握的情況是不會影響到普通用戶的。”馬憲彬稱。
此外,科沃斯表示,公司一直積極優化產品安全保護措施。馬憲彬表示,這種保護措施的加強,不是針對某個單獨的案例或者針對某個單獨的黑客或組織,是爲了讓公司的安全措施更難讓攻擊者發現規律,從而減少不必要的風險。
目前,科沃斯使用的手段包括各種證書驗證、安全策略、網絡劫持的應對措施,以及遠程代碼的執行漏洞實時監控更新、三方設備之間連接的健全等,科沃斯一直都在不斷地換算法、換方式。
針對兩位研究員此次發佈的“漏洞”,馬憲彬認爲,這屬於技術討論層面。在某一個特定時間,對方發現了一個可以入侵設備的途徑。在態度上,公司很歡迎這種限制在技術討論範圍內的問題。
根據科沃斯發佈的2023年年報,2023年,公司總收入155.02億元人民幣,較上年增長 1.16%,歸屬於上市公司股東的淨利潤6.12億元人民幣,較上年下降63.96%。其中,境內營業收入89.8億元,同比下滑11.43%;境外營業收入65.22億元,同比增長25.76%。
編輯|王月龍 杜恆峰
校對|段煉
每日經濟新聞綜合自公開信息、廣州日報、南方都市報、21財經、每經網(記者 程雅)