本帖最后由 丙丁先生 于 2024-8-16 07:49 编辑
谈扫地机器人被曝成“监视工具”
近日,两位安全人员在Def Con安全大会发布科沃斯旗下扫地机器人和割草机器人产品的安全漏洞问题。该漏洞允许攻击者在最远130米的距离内,通过手机蓝牙轻松连接并控制机器人。只需一秒钟发送有效载荷,机器人便能重新连接到外部服务器,进而实现远程控制。这意味着黑客能够读取Wi-Fi密码、访问存储的地图数据、控制摄像头及麦克风等设备。
通过被黑客入侵的科沃斯设备可以看到一只狗。
割草机器人因其蓝牙始终处于开启状态而成为更易受攻击的目标,而扫地机器人虽然仅在开机后20分钟内启用蓝牙并每日自动重启,但考虑到其普遍配备的摄像头与麦克风,一旦被黑客控制,可能转变为潜在的“监视器”。这些机器人缺乏任何形式的指示灯来警示用户摄像头与麦克风的激活状态。
除蓝牙漏洞外,研究人员还指出科沃斯产品存在其他安全隐患,如用户账号删除后,相关数据仍滞留在云端,包括身份认证令牌,这为二手买家带来了隐私泄露的风险。
围绕此事咨询电商平台的科沃斯旗舰店,客服回复表示,新闻中提及的Ecovacs Deebot 900系列、Ecovacs Deebot N8/T8、Ecovacs Airbot ANDY等多款产品在店铺均已下架。
科沃斯回应:普通用户不必过虑
科沃斯方面表示,公司的安全委员会对此事定性为产品在网络连接数据存储等方面是安全的。
科沃斯大中华区公关总监马宪彬表示这属于技术讨论层面。在某一个特定时间,对方发现了一个可以入侵设备的途径。“购买产品的用户不必为这个事过虑。至少我们现在掌握的情况是不会影响到普通用户的。”
对指出的所谓“漏洞”实则是行业共性问题,即在一些验证连接的过程中可能会被别有用心的人“钻空子”。在用户日常使用环境中的发生概率是很低的,即便发生了对用户数据隐私的破坏也是很少的。黑客需要用专业的工具,近距离接触机器甚至是物理接触机器端口,把机器拆开才能达成这样的效果。
公司还将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。在机器人的世界里,人类没有秘密,也缺乏美感。 |
