爆安全漏洞，扫地机器人或成偷窥工具

　　近日，被称为“扫地机器人第一股”的科沃斯面临隐私安全的质疑。两名安全研究人员丹尼斯·吉斯（Dennis Giese）和布莱恩（Braelynn）在Def Con安全大会发布了科沃斯旗下产品安全漏洞，称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。针对旗下产品存在安全漏洞的质疑，科沃斯回应称，这是技术攻防中的破解手段，但在日常生活中属于非正常手段，公司将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。

　　8月13日下午，针对旗下产品存在安全漏洞的质疑，科沃斯向南都湾财社记者回应称，用户不必为此事过虑，现在掌握的情况是不会影响到普通用户。两位黑客展示的是技术攻防中的破解手段，在日常生活中是非正常手段，是技术层面的，这在日常使用环境下基本不存在，不会对消费者日常使用产生影响。

　　01

　　科沃斯回应：会积极优化产品的安全保护措施

　　“他们（黑客）研究出来的攻击方式都是对单台设备有效，它不具备可复制性，即便有另外两个人想做同样的事情，要具备的条件也太多了，比如说要有足够深厚的黑客知识，要有足够好的设备，要足够接近我们的设备或者说物理上把这个设备拿走，这是实现（利用漏洞监视用户）的前提。”

　　科沃斯相关负责人表示，公司内部的安全委员会对此事的定性是产品在网络连接、数据存储等方面是安全的，黑客指出的这些安全隐患在用户日常使用环境中发生概率很低，而且即便发生了，对用户数据隐私的破坏也是很少的。

　　同时，黑客还需要用专业的工具，而且近距离接触机器，通过物理接触机器破解，把机器拆开才能达成效果。“所以我们认为用户不必为这个事情过虑，至少我们现在掌握的情况是不会影响到普通用户的。”

　　此外，科沃斯方面还表示，会积极优化产品的安全保护措施。“我们使用的手段包括各种证书验证、安全策略、网络劫持的应对措施，以及远程代码执行漏洞，Windows、安卓的漏洞等等，都会实时监控做更新。这样做的目的主要有二，一是不法分子入侵的这个渠道变得越来越少。二是把算法、更新机制做得更无序，减少不法分子猜测的成功概率，增加破解设备的难度。”

　　科沃斯方面还表示，两位黑客提及的这种也属于技术类的研究交互，与消费者日常的使用环境是不同的场景。“这种黑客通过安全会议爆出来的安全隐患，通常是企业跟黑客、跟安全组织交互的一个正常的途径，海外很常见。我们也有很多通过这种渠道跟我们交互的安全网络安全工程师、硬件安全工程师等等，他们研究我们的产品，发现可以物理破解，然后破解了之后再去看可以通过什么手段去堵住这个物理破解的路？也有人向我们提交这种解决方案。所以这个其实是很正常的交流，不应被引导到日常消费场景里。”

　　此外，针对部分黑客提及的产品已经下架，科沃斯方面表示，下架的主要原因是产品太老已经被淘汰，与此次事件无关。

　　02

　　增收不增利、产品投诉激增

　　科沃斯官网信息显示，该公司成立于1998年，专注于服务机器人的独立研发、设计与制造，向全球市场推出了包括家用扫地机器人DEEBOT、擦窗机器人WINBOT、全气净化机器人AIRBOT等产品。

　　2018年，科沃斯登陆资本市场，成为“扫地机器人第一股”，市值曾飙升到1500亿元，被行业称为“扫地茅”。而随着扫地机器人市场的泡沫破裂，科沃斯的市值也大幅缩水，蒸发了八成以上，如今仅剩213亿元市值。

　　曾经被视为高成长性企业的科沃斯，其业绩表现也不甚理想。科沃斯2023年年报显示，全年营收155.02亿元，同比增长1.15%；归属于母公司股东的净利润为6.12亿元，同比下降63.96%；扣除非经常性损益后的净利润为4.84亿元，同比下降70.26%。

　　2024年一季度，科沃斯增收不增利的情况有所改善。一季度实现营收34.74亿元，同比增长7.35%；对应归母净利润2.98亿元，同比下滑8.71%。而投资者对其表现也开始投反对票，短期来看，自该公司业绩发布后，股价仍处于下跌的态势，市值从300亿左右下探至213亿元。

　　业绩堪忧的背后，是科沃斯的产品力仍有待提升。根据全国12315消费投诉信息公示，截至8月13日，科沃斯近一月公示投诉总量67件，月环比上升458.33%，近一月公示调解成功率82.09%。

　　03

　　万物互联时代 智能家居设备面临隐私安全挑战

　　随着万物互联时代的到来，科沃斯陷入隐私安全漏洞的背后，也是整个智能家居行业所面临的发展挑战。

　　澳洲信息安全协会（AISA）的专家便指出，扫地机器人不仅能收集灰尘清理卫生，还能收集周围环境的数据，并将其发送回外部服务器。尤其是那些自带摄像头的扫地机器人，其背后的隐私泄露风险不容忽视。

　　此前也有智能家居设备采集用户隐私数据后泄露的案例。在2020年，委内瑞拉一家负责给扫地机器人iRobot Roomba J7收集的图像进行标记的承包商，便将一名女性用户在家中上厕所的图片发到了网上；韩国也曾发生类似事件，黑客入侵家庭网络摄像头和相关智能设备，窃取了700多个家庭的私人照片和视频。

　　智能家居设备尤其在WiFi连接、蓝牙连接方面，可能存在哪些漏洞和安全隐患？北京汉华飞天信安科技有限公司总经理彭根向南都湾财社记者指出，不论是蓝牙设备还是WiFi连接。都有其代码逻辑，只要有这种逻辑，就可能存在漏洞。“比如说它是一个WiFi但不是路由器，但它告诉所有设备‘我是一个路由器’，那么其他设备是没办法去甄别它的，可能直接默认就连接上了。这样的话WiFi欺骗的情况诞生了，也是漏洞诞生的一个逻辑。”

　　如何防范类似事件的发生？彭根建议，用户如果发现智能家居设备有麦克风、摄像头等功能，尽量选择将其放在离因私环境较远的地方；此外，要管理好账户，不要随便换口令，采取必要的安全措施，如断开物联网设备的互联网连接，以降低被远程攻击的风险。同时，用户也应对家中的智能设备进行定期的安全检查，确保其固件和软件更新至最新版本，以减少被利用的安全漏洞。

　　另一方面，智能家居设备的数据收集工作，往往也是为了提升产品的智能化，如何兼顾智能化和隐私安全？彭根认为，智能设备的数据收集，现在已有的《数据安全法》和《个人信息保护法》，都对数据安全和个人信息保护有相应的条款和要求。“比如我们常说到的个人隐私数据收集提前告知，让用户充分同意是否实行一些删除的权限等，目前法律层面已经有清晰的划分。”　　

　　采写：南都湾财社记者 程洋 严兆鑫