近日,两位安全研究人员在参加Def Con安全大会时表示,他们发现科沃斯(Ecovacs)旗下的扫地机器人产品存在安全问题,
通
过蓝牙连接科沃斯机器人后,黑客可以通过产品自带的WiFi连接功能对其远程控制,并访问其操作系统中的房间地图、摄像头、麦克风等功能和信息
。
针对上述问题,科沃斯在回应南方财经全媒体记者采访时表示,数据安全和用户隐私是科沃斯最重视的问题之一,科沃斯机器人安全委员会就产品在网络连接、数据存储等问题做了内部研究和评议,其得到的结论是:
这些安全隐患在用户日常使用环境中的发生概率极低,需要专业的黑客工具且近距离接触机器才有可能完成
,故用户不必为此过虑。尽管如此,科沃斯会基于研究和评议发现,积极主动地优化产品。
南方财经全媒体记者梳理发现,在物联网与家电智能化快速发展的同时,除扫地机器人外,智能门锁、家用摄像头等新兴智能家居设备近年来亦出现多次隐私安全问题,但相关的行业细分法规和标准依旧处于缺位状态。
如何在涉及颇多个人隐私信息的家庭生活场景中做好信息安全防护,依旧是智能家居行业亟待解决的问题。
据两位安全研究人员Dennis Giese和 Braelynn介绍,科沃斯的安全问题主要在于蓝牙连接,黑客可以通过手机在450英尺(约130米)范围内匹配到设备并对其加以控制,一旦实现控制,就可通过机器人自带的WiFi联网功能连接到服务器,实现对其远程操控。
随着机器的Linux 操作系统被远程破解,入侵者可以读取机器本身的WiFi凭证、房间地图等信息,并访问其自带的摄像头、麦克风等传感器功能,进而盗取相关个人信息
。
目前,科沃斯的扫地机器人设备采取的防范措施,是在开启后会启用20分钟蓝牙,且每天自动重启一次,但该品牌旗下割草机的蓝牙则始终保持打开状态;此外,在摄像头打开的同时,设备每五分钟会播放一次音频文件以提醒用户设备处于打开状态,但Dennis Giese表示,黑客可以删除该音频文件以保持破解设备的隐蔽性。
对此,
科沃斯方面表示,将会使用技术手段限制第二账户登录、加强蓝牙设备相互连接的二次验证、增加物理操作触发蓝牙连接等方式强化产品在蓝牙连接方面的安全性
。
“蓝牙安全一直是一个老生常谈的安全问题。” 梆梆安全泰斗实验室负责人吴建平在接受南方财经全媒体记者采访时指出,由于蓝牙的配对密钥是一个纯数字的4位或6位密码,在仅存在一万或一百万可能的情况下,现代计算机是可以在几秒钟内就破译成功的。
针对该底层协议漏洞,2023年蓝牙公司发布了5.4版本更新,限制了短时间内访问、对照密钥的次数,一定程度上降低了蓝牙连接被攻破的风险。
除了蓝牙相关的漏洞外,两位研究人员还发现了科沃斯产品的其他安全问题,其指出,
即便已删除了用户账号,机器人的相关数据仍会被保存在云服务器中;用户的身份认证令牌也被保存在云端,这可能导致相关用户在删除账户后仍能访问设备,使得二手购买机器的用户隐私安全受到威胁
。
