扫地机偷窥？科沃斯称入侵概率低！如何堵上智能家电安全漏洞

“他们的安全性非常糟糕。”

近日，两位安全技术专家在被称为极客界“奥斯卡”的全球顶级安全会议——DefCon安全大会上这样评价道。他们表示，经研究发现，家庭服务机器人品牌科沃斯旗下多款产品存在严重的网络安全漏洞。黑客可以通过蓝牙入侵并远程控制用户购买的扫地机器人、割草机器人等，读取设备保存的房间地图信息，访问操作系统中的摄像头、麦克风等功能。

8月13日下午，科沃斯方面作出回应，称实现上述攻击需要很多特殊的前提条件，包括近距离接触机器，拆开机器等；且这些攻击方式仅对单台设备有效，不具备可复制性，因此在日常生活中发生攻击事件的概率很低，即使发生对用户隐私的侵犯程度也不大，用户无需担忧。

家居机器人被曝易遭入侵监控用户举动

近日，全球顶级安全会议Def Con安全大会在美国拉斯维加斯举行。安全技术专家丹尼斯·吉斯（Dennis Giese）和布雷林（Braelynn）在会上公开了科沃斯旗下产品存在的多个安全漏洞。

两位专家表示，经研究发现，黑客可以通过蓝牙功能入侵该品牌扫地机器人、割草机器人等设备。其安全漏洞的存在让任何一个使用手机的人，都能通过蓝牙功能从最远450英尺（约 130米）处远程控制科沃斯机器人。“我们可以读出Wi-Fi凭证，可以读出所有（保存的房间）地图……通过机器人的Linux操作系统，我们可以访问摄像头、麦克风等任何功能。”

被入侵的科沃斯智能设备，图片源自吉斯、布雷林

吉斯表示，割草机器人的蓝牙功能始终处于开启状态，而扫地机器人开机后蓝牙功能仅开启20分钟，并且每天自动重启一次，因此后者更难被黑客入侵。

另外，当摄像头和麦克风等功能被非法入侵并开启时，上述设备均无任何提示警告。吉斯强调，理论上某些型号的摄像头每隔五分钟会播放一次音频，目的是提示用户摄像头处于开启状态，但黑客通过简单的操作就能使该功能失效。

除了黑客攻击的风险外，两位专家还指出科沃斯机器人存在的其他问题。

一方面，即使机器人设备上的用户帐户被删除，存储在设备商处的数据仍保留在科沃斯的云服务器上，包括用户的身份验证令牌。这意味着帐户被删除后设备依然能被用户访问，购买二手机器人的用户也可能受到监视。另一方面，割草机器人配备了通过输入PIN码以防止被盗的系统，但PIN码以纯文本形式存储在设备中，黑客很容易破解和使用它。

8月13日下午，科沃斯方面组织媒体沟通会作出回应，称安全专家提到的攻击行为需在具备很多前提条件的情况下才会发生，“黑客需要用专业的工具，而且近距离接触机器，甚至是物理接触机器，把机器拆开才能达成这样的效果。”且这种攻击方式仅对单台设备有效，不具备可复制性。因此，上述攻击行为在日常生活中发生的概率很低，即使发生对用户隐私的侵犯程度也不大，普通用户无需担忧。

科沃斯发言人还表示，经公司安全委员会评估，其产品在网络连接、数据存储等方面的安全水平可信。会上安全专家使用的攻击路径和技巧，科沃斯自去年底至今一直在加强修复，目前问题可能已经得到了解决。另外，公司也会不断优化产品的安全保护措施，包括加强证书验证，完善安全策略、网络劫持应对措施；实时监控漏洞，更新加密算法等，提高设备入侵难度，降低攻击风险。

针对用户数据被保留在云服务器的情况，发言人建议用户在购买二手设备时，一定要重置数据。设备重置后本机数据被删除，但云端账户数据不会，原因是政策要求云端数据必须被保留六个月，在此期间数据会被匿名化处理。

各类智能家居设备安全隐患频现

智能门锁、智能音响、智能冰箱……如今，智能家居设备的普及极大提高了人们生活的便利度和舒适度。跨境电商互联网平台大数跨境今年发布的《2024全球智能家居市场洞察报告》显示，2023年，全球智能家居市场规模为1010.7亿美元，并预计从2024年的1215.9亿美元增长至2032年的6332.0亿美元。

随着全球智能家居规模持续增长，人们家中设备的开关方式从手动接触式变为远程操控式，其带来的安全风险也引发了更大担忧。南都·隐私护卫队梳理发现，智能家居的隐私安全问题近年来曾多次被曝光。

今年2月，智能家居品牌Wyze陷入隐私安全风波。据悉，由于系统故障，约1.3万名用户在查看自家监控录像时，意外看到了其他用户的图像或视频片段。影响较大的一次相关事件发生在2020年，iRobot开发的Roomba J7系列扫地机器人拍摄的大量用户照片被泄露到多个社交网站，其中包括一个坐在马桶上的女人、趴在地上的幼儿、家里各种物件等，照片的人脸信息在原图中清晰可见。

2022年初，上海市消保委联合第三方机构对6款智能门铃和门禁产品进行安全性能测试，发现其中多款门铃弱密码可被简单粗暴的“抓包”加暴力破解，攻击者利用漏洞组合获取用户账号密码，入侵登录后可访问摄像头、麦克风等权限，自由调取录像，甚至听取房间家庭成员间的交谈，用户隐私难以保障。

除了隐私安全，智能家居设备被非法入侵还可能影响人身安全。据报道，2017年，一家计算机安全公司披露了LG智能家居系统中的一个漏洞。黑客通过该漏洞可以控制家庭中的智能设备，其中包括具有远程预热功能的LG烤箱。这意味着黑客也可以远程开启加热，增加了潜在的安全风险。

南都·隐私护卫队梳理发现，随着各类智能家居设备安全隐患频现，目前已有相关标准出台，探索安全规范之路。

2022年11月，国家标准《信息安全技术—智能家居通用安全规范》实施。该标准旨在提高智能家居设备的信息安全保障水平，明确了智能家居通用安全技术要求，包括智能家居终端安全要求、智能家居网关安全要求、通信网络安全要求和应用服务平台安全要求等。

更早之前，2020年10月，行业标准《物联网智能家居安全技术要求》实施。该标准从物联网智能家居系统架构、平台安全、通信安全、智能终端安全等角度作出规定，适用于物联网智能家居的设计、制造和应用。

采写：南都记者 樊文扬