據ABC News報道,今年早些時候,黑客入侵了美國多個城市的科沃斯Deebot X2 Omni掃地機器人,利用它們來追逐寵物并對主人進行種族歧視辱罵。
外媒有消息稱,科沃斯品牌的掃地機器人和割草機器人存在安全隐患,黑客可能利用這些漏洞遠端控制裝置,通過内置攝像頭和麥克風進行監視。
随着國産品牌出海,産品如何杜絕類似安全和隐私問題,正成為一個值得注意的新方向。
▍安全問題的漏洞?
安全研究人員丹尼斯·吉斯(Dennis Giese)和布雷琳(Braelynn)此前在Def Con黑客大會上展示他們對科沃斯機器人的研究。分析了包括Ecovacs Deebot 900,Deebot N8/T8,Deebot N9/T9,Deebot N10/T10,Deebot X1,Deebot T20,Deebot X2,Goat G1,Spybot Airbot Z1,Airbot AVA以及Airbot ANDY系列等科沃斯旗下多款熱銷産品,以確定其漏洞的普遍性,他們測試多款科沃斯産品後,他們發現了多個安全問題,稱這些漏洞可能被濫用。
Def Con黑客大會,是全球最大、最具影響力的計算機安全大會之一,有着“黑客奧斯卡”之稱。參與者不僅有全球頂尖的安全領域研究人員,還有安全局、調查局等政府機構的官員。
研究人員指出,主要安全隐患在于存在一個漏洞,使得任何人隻要使用手機,就能通過藍牙連接配接并控制科沃斯機器人,控制距離可達450英尺(約137米)。一旦黑客控制了裝置,他們就可以遠端監視,因為機器人本身時刻通過Wi-Fi連接配接到網際網路。
多名Deebot X2使用者表示,他們的裝置在5月份被黑客入侵。其中,明尼蘇達州律師Daniel Swenson回憶道,他在與家人看電視時,突然聽到機器人發出類似“破損的無線電信号”的噪音。他重置密碼并重新開機機器人後,聲音再次出現,但這次明顯是人類在喊罵的聲音。
ABC News還報道了其他類似的事件,包括一名黑客在埃爾帕索和洛杉矶利用Deebot機器人來騷擾寵物狗,對它大喊大叫并追逐。
吉斯表示,割草機器人因為始終開啟藍牙,而掃地機器人在啟動時和每天自動重新開機時會啟用藍牙20分鐘,這使得它們相對更難被黑客攻擊。但由于大多數科沃斯機器人至少配備了一個攝像頭和一個麥克風,一旦黑客控制了這些裝置,它們就可能被變成間諜工具。
研究人員指出,這些機器人沒有硬體訓示燈或其他任何警告附近人員攝像頭和麥克風已開啟的訓示器。在某些型号上,理論上每五分鐘會播放一個音頻檔案,提示攝像頭已開啟,但黑客可以輕易删除該檔案以保持隐蔽。
除了黑客攻擊的風險外,吉斯和布雷琳表示,他們還在科沃斯裝置中發現了一些隐私性的其他問題。即使删除了使用者賬戶,存儲在機器人上的資料仍然保留在科沃斯的雲伺服器上,同時認證令牌也保留在雲端,允許某人在删除賬戶後通路機器人吸塵器,這可能允許他們監視購買該機器人的二手買家。
此外,研究人員去年示範了一種漏洞,可以繞過Deebot X2的PIN碼輸入來通路該機器人。割草機器人有一個防盜機制,如果有人拿起機器人,就會強制輸入PIN碼,但PIN碼以純文字形式存儲在割草機内,并未在伺服器端驗證——這意味着任何擁有Chrome web inspector等工具基本知識的人都可以繞過它。研究人員表示,一旦有科沃斯機器人被入侵,在其範圍内的其他科沃斯機器人裝置也可能被黑客攻擊。
▍回應與解決
該問題被曝光後,8月13日,科沃斯方面作出回應,稱實作上述攻擊需要很多特殊的前提條件,且這些攻擊方式僅對單台裝置有效,不具備可複制性。
科沃斯方面表示,正積極優化産品的安全保護措施。“我們使用的手段包括各種證書驗證、安全政策、網絡劫持的應對措施,以及遠端代碼執行漏洞,Windows、安卓的漏洞等等,都會實時監控做更新。這樣做的目的主要有二,一是不法分子入侵的這個管道變得越來越少。二是把算法、更新機制做得更無序,減少不法分子猜測的成功機率,增加破解裝置的難度。”相關人士解釋道。
科沃斯方面還表示,兩位黑客提及的這種也屬于技術類的研究互動,與消費者日常的使用環境是不同的場景。“這種黑客通過安全會議爆出來的安全隐患,通常是企業跟黑客、跟安全組織互動的一個正常的途徑,海外很常見。但不應被引導到日常消費場景裡。”黑客采用的是技術攻防中的破解手段,但在日常生活中屬于非正常手段。是以在日常生活中發生攻擊事件的機率很低,即使發生對使用者隐私的侵犯程度也不大,使用者無需擔憂。
同時,科沃斯其實科沃斯從去年開始,就一直在針對上述兩位研究員所說的攻擊路徑和技巧做技術上的補強,并一直優化産品安全保護措施,讓攻擊者更難發現規律,進而減少風險。科沃斯在近期一份聲明中也表示,目前已經“确定了一次憑據填充事件”,并阻止了攻擊源IP位址。但該公司表示,沒有發現黑客收集使用者名和密碼的證據。
科沃斯在最新聲明中表示,已經解決了這些漏洞問題,公司計劃在11月釋出更新以“進一步加強安全性”。同時,去年評測中提及的Ecovacs Deebot 900系列、Ecovacs Deebot N8/T8、Ecovacs Airbot ANDY等多款老舊産品在店鋪均已下架。
▍結語與未來
目前,科沃斯服務超過5000萬家庭使用者,這使其暴露的問題面更廣泛。在此之前,社交平台上早有網友表示了對irobot、科沃斯等掃地機器人偷窺隐私的擔憂。正如科沃斯方面表示,對方指出的産品問題可能并非漏洞,而是行業共同面對的問題。
技術人士表示,因為無論是藍牙裝置還是WiFi連接配接,聯網産品都有其代碼邏輯,隻要有這種邏輯,就可能存在漏洞。使用者如果發現智能家居裝置有麥克風、攝像頭等功能,盡量選擇将其放在離因私環境較遠的地方。此外,要管理好賬戶,不要随便換密碼,采取必要的安全措施,如斷開物聯網裝置的網際網路連接配接,以降低被遠端攻擊的風險。同時,使用者也應對家中的智能裝置進行定期的安全檢查,確定其固件和軟體更新至最新版本,以減少被利用的安全漏洞。
智能家居的普及讓萬物互聯時代變得愈發具象,打通了科技與人類生活的最後一道屏障。是以,産品安全與資料保護,無疑是人類讓渡自身隐私——尤其是在家,這個最隐蔽角落的底線。澳洲資訊安全協會(AISA)的專家便指出,掃地機器人不僅能收集灰塵清理衛生,還能收集周圍環境的資料,并将其發送回外部伺服器。尤其是那些自帶攝像頭的掃地機器人,其背後的隐私洩露風險不容忽視。
此前也有智能家居裝置采集使用者隐私資料後洩露的案例。在2020年,委内瑞拉一家負責給掃地機器人iRobot Roomba J7收集的圖像進行标記的承包商,便将一名女性使用者在家中上廁所的圖檔發到了網上;南韓也曾發生類似事件,黑客入侵家庭網絡攝像頭和相關智能裝置,竊取了700多個家庭的私人照片和視訊。
在全球化的過程中,帶有攝像頭的智能裝置資料收集,必然需要注意兼顧智能化和隐私安全。大陸目前已有的《資料安全法》和《個人資訊保護法》,都對資料安全和個人資訊保護有相應的條款和要求。例如個人隐私資料收集提前告知,讓使用者充分同意是否實行一些删除的權限等,目前法律層面已經有清晰的劃分,但真正落實可能還任重道遠。