每經(jīng)編輯 王月龍    

近日，科沃斯面臨隱私安全的質疑。兩名安全研究人員丹尼斯?吉斯（Dennis Giese）和布萊恩（Braelynn）在Def Con安全大會上發(fā)布了科沃斯旗下割草機器人和掃地機器人安全漏洞，稱攻擊者可通過這些漏洞利用設備內(nèi)置的攝像頭和麥克風監(jiān)視用戶。

奧維云網(wǎng)（AVC）推總數(shù)據(jù)顯示，今年上半年，掃地機器人在整個清潔電器內(nèi)部占比高達41%，穩(wěn)坐清潔賽道的頭把交椅，銷額、銷量均實現(xiàn)兩位數(shù)增長，分別同比增長18.8%、11.9%。

據(jù)科沃斯官網(wǎng)介紹，科沃斯機器人堅持和深化國際化戰(zhàn)略，目前，科沃斯機器人相繼在德國、美國、日本建立了銷售子公司，并成功開拓了全球80多個主要國家和地區(qū)市場。2016年科沃斯便成為了國內(nèi)掃地機器人銷量第一的品牌。

截圖自科沃斯官網(wǎng)

“家電企業(yè)在推動產(chǎn)品智能化這一路徑上，要從意識、規(guī)劃及技術架構上就要考慮用戶隱私安全的保護。”家電產(chǎn)業(yè)觀察家丁少將向廣州日報記者分析指出，在這一過程中，要科學、合理地收集用戶數(shù)據(jù)，讓用戶知情并同意，對于用戶的隱私數(shù)據(jù)，對于用戶智能化體驗沒有根本性提升的數(shù)據(jù)不要過度索取。在自身基礎能力還不是很完善的情況下，可以引入專業(yè)的第三方安全數(shù)據(jù)公司進行數(shù)據(jù)相關的保護工作。

研究人員：130米外就能控制

可以訪問攝像頭、麥克風等

據(jù)南方都市報，BlackHat黑帽大會和Def Con黑客大會被譽為黑客的“世界杯”和“奧斯卡”，于上周末在美國拉斯維加斯舉行，旨在分享安全社區(qū)的最新研究、黑客技術和知識。研究人員表示他們分析了科沃斯的10多款熱銷設備，覆蓋掃地機器人、割草機器人和空氣凈化機器人。

上述研究人員表示，科沃斯產(chǎn)品的主要問題在于存在一個漏洞，任何人只要使用手機，就能通過藍牙從450英尺（約130米）遠的地方連接并控制科沃斯機器人。“你發(fā)送一個有效載荷，只需一秒鐘，它就會重新連接到我們的機器。例如，它可以重新連接到互聯(lián)網(wǎng)上的服務器。從那里，我們可以遠程控制機器人。”丹尼斯·吉斯說，“我們可以讀取Wi-Fi憑證，我們可以讀取所有（保存的房間）地圖，訪問攝像頭、麥克風等等。”

上述研究人員表示，割草機器人始終開啟藍牙，而掃地機器人在開啟時會啟用藍牙20分鐘，并且每天自動重啟一次，因此掃地機更難被黑客入侵。由于大多數(shù)新型科沃斯機器人都配備了至少一個攝像頭和一個麥克風，一旦黑客控制了入侵的機器人，這些掃地機器人就可以變成“監(jiān)視工具”。同時這些機器人沒有硬件指示燈或任何其他指示燈來提醒附近的人它們的攝像頭和麥克風已打開。

據(jù)21財經(jīng)，“藍牙安全一直是一個老生常談的安全問題。” 梆梆安全泰斗實驗室負責人吳建平在接受采訪時指出，由于藍牙的配對密鑰是一個純數(shù)字的4位或6位密碼，在僅存在一萬或一百萬可能的情況下，現(xiàn)代計算機是可以在幾秒鐘內(nèi)就破譯成功的。

針對該底層協(xié)議漏洞，2023年藍牙公司發(fā)布了5.4版本更新，限制了短時間內(nèi)訪問、對照密鑰的次數(shù)，一定程度上降低了藍牙連接被攻破的風險。

除了藍牙相關的漏洞外，兩位研究人員還發(fā)現(xiàn)了科沃斯產(chǎn)品的其他安全問題，其指出，即便已刪除了用戶賬號，機器人的相關數(shù)據(jù)仍會被保存在云服務器中；用戶的身份認證令牌也被保存在云端，這可能導致相關用戶在刪除賬戶后仍能訪問設備，使得二手購買機器的用戶隱私安全受到威脅。

科沃斯回應：不必過慮

不會影響到普通用戶

8月13日下午，《每日經(jīng)濟新聞》記者參加了科沃斯“針對數(shù)據(jù)安全相關疑問回應”的電話會，科沃斯大中華區(qū)公關總監(jiān)馬憲彬表示，丹尼斯?吉斯和布萊恩兩位安全研究人員一直以來對我國掃地機器人企業(yè)的產(chǎn)品安全很感興趣，對國內(nèi)其他品牌的產(chǎn)品也做過一些相對應的研究，“兩位研究員是學無線跟嵌入式設備的”。

本次事件的背景是兩位安全研究人員在美國Def Con安全大會上聲稱要發(fā)表演講，演示如何攻擊科沃斯的設備，但目前尚未公布其演講視頻。針對上述兩位研究員做的攻擊路徑和技巧，科沃斯從去年開始到現(xiàn)在一直在做技術上的補強，有可能突破的路徑已經(jīng)被封死，所以到目前為止兩位安全研究人員本來計劃要發(fā)布的內(nèi)容并未發(fā)布。

科沃斯方面認為，對方指出的產(chǎn)品問題并非“漏洞”，而是行業(yè)共同面對的問題，即在一些驗證連接的過程中可能會被別有用心的人“鉆空子”，但如果不用物理方式接觸公司的產(chǎn)品或者不在離產(chǎn)品比較近的范圍內(nèi)，他們無法破解。另外，對方聲稱研究出來的攻擊方式都是對單一設備有效，不具備可復制性。

“所以我們認為購買產(chǎn)品的用戶不必為這個事過慮。至少我們現(xiàn)在掌握的情況是不會影響到普通用戶的。”馬憲彬稱。

此外，科沃斯表示，公司一直積極優(yōu)化產(chǎn)品安全保護措施。馬憲彬表示，這種保護措施的加強，不是針對某個單獨的案例或者針對某個單獨的黑客或組織，是為了讓公司的安全措施更難讓攻擊者發(fā)現(xiàn)規(guī)律，從而減少不必要的風險。

目前，科沃斯使用的手段包括各種證書驗證、安全策略、網(wǎng)絡劫持的應對措施，以及遠程代碼的執(zhí)行漏洞實時監(jiān)控更新、三方設備之間連接的健全等，科沃斯一直都在不斷地換算法、換方式。

針對兩位研究員此次發(fā)布的“漏洞”，馬憲彬認為，這屬于技術討論層面。在某一個特定時間，對方發(fā)現(xiàn)了一個可以入侵設備的途徑。在態(tài)度上，公司很歡迎這種限制在技術討論范圍內(nèi)的問題。

根據(jù)科沃斯發(fā)布的2023年年報，2023年，公司總收入155.02億元人民幣，較上年增長 1.16%，歸屬于上市公司股東的凈利潤6.12億元人民幣，較上年下降63.96%。其中，境內(nèi)營業(yè)收入89.8億元，同比下滑11.43%；境外營業(yè)收入65.22億元，同比增長25.76%。

編輯|王月龍 杜恒峰

校對|段煉

每日經(jīng)濟新聞綜合自公開信息、廣州日報、南方都市報、21財經(jīng)、每經(jīng)網(wǎng)（記者 程雅）