近日,Dennis Giese和Braelynn两位安全人员,在Def Con安全大会发布科沃斯(603486.SH)旗下产品的安全漏洞问题。
根据上述两位安全人员的发现,通过蓝牙连接科沃斯旗下的扫地机器人、割草机产品后,黑客可以通过产品自带的WiFi连接功能实现对其远程控制,并访问操作系统中的房间地图、摄像头、麦克风等功能和信息。
据21世纪经济报道,科沃斯就此事回应称,这是技术攻防中的破解手段,但在日常生活中属于非正常手段,公司将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。
当然,科沃斯只是整个智能家居行业中的冰山一角,自数字化进程不断加快后,智能家居所面临的发展挑战也随之水涨船高。因此,除了科沃斯,还有许多家电产品如摄像头、智能音箱、儿童智能手表等曾出现过信息安全漏洞之类的问题。
以某互联网公司为例,2021年曾有网友在某短视频平台发布视频称,自己通过该公司云视频查看自家监控时,意外发现App内可以显示其他小区的实时监控视频,视频内容甚至包括保安室、楼道等;此外,“女子玩智能音响发现多名房客被拍”等热门事件也登上过2022年的微博热搜;再往前推溯,2020年,iRobot的Roomba J7系列扫地机器人层拍摄到了某女性在家中上厕所的图片,当时报道称,这些照片原本用于机器学习和产品改进,但由于工作人员未遵守隐私协议,导致信息泄露事件。
更让人惊讶的是,在对多类儿童智能手表样品进行试验后,其报告显示:所测试的样品在信息安全检测方面均存在不同程度的高危漏洞。
河北省石家庄市消保委的信息安全检测,主要是从恶意程序、权限滥用和隐私泄露三个方面对样品的信息安全开展测评。恶意程序检测项主要是评估产品应用程序的自身防护机制以及是否存在高危漏洞,权限滥用检测项主要是评估产品应用程序是否具备访问控制策略,隐私泄露检测项主要是评估个人信息保护政策是否清晰、准确、完整地描述个人信息控制者的个人信息处理行为,三项均是根据T/CPQS E00037-2022网联消费电器信息安全通用技术有关要求对产品开展评价。
结果显示,12款样品在权限滥用与隐私泄露两个检测项目上表现一致,均具备访问控制策略,个人信息保护政策清晰、准确,能完整描述个人信息控制者的个人信息处理行为。但在恶意程序检测项方面,12款样品则都存在不同程度的高危漏洞。
除了儿童手表,还有消保委对摄像头产品进行比较试验,同样发现了诸多信息安全隐患。2023年,广西消费者权益保护委员会发布过家用摄像头比较试验结果。
广西消费者权益保护委员会的信息安全指标测试,主要参照推荐性国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》,对“收集个人信息的最小必要”和“收集个人信息时的授权同意”两个项目,分别在iOS系统和安卓系统上进行检测和对比。
测试结果显示,家用摄像头商品的APP普遍存在信息安全隐患。
智能家居隐私安全问题层出不穷且难以化解,这一现象背后隐藏着多方面的复杂性和挑战。因此,除了厂商应对名下的产品做好安全方面的质量把控,用户作为智能家居的使用者,也应该提高自己的安全意识,这样便能大大降低隐私安全问题的发生概率。像弱密码、随意下载未知来源的应用程序等行为要尽快杜绝。
此外,面对智能家居技术的快速发展,相关法律法规和标准的制定往往滞后于技术的发展速度。这导致部分安全问题和隐患在法律层面缺乏明确的规范和约束。同时,智能家居行业也缺乏统一的安全标准和规范,不同厂商和产品之间的安全防护能力和措施存在差异。这种差异不仅增加了整体安全防护的难度和复杂性,也为用户选择安全可靠的智能家居产品带来了困扰。
为了有效应对智能家居隐私安全问题的挑战,我们需要从多个方面入手。首先,加强技术研发和投入是关键。厂商应不断提升设备和系统的安全防护能力,建立快速响应机制以应对新出现的安全威胁和漏洞。其次,政府和行业组织也应加快相关法律法规和标准的制定和更新速度,为智能家居行业提供明确的法律规范和约束。当然,加强行业监管与合作也是解决隐私安全问题的重要途径。政府部门应加强对智能家居行业的监管力度,推动厂商之间的合作与信息共享以共同应对安全威胁和挑战。
科沃斯隐私门背后:隐私泄露已成智能家电行业痛点 (weibo.com)
