科沃斯严重安全隐患问题之后,需要认真查询问题源头、整改产品质量、杜绝问题隐患,才能重建企业护城河。
@科技新知 原创
作者丨余寐 编辑丨赛柯
智能家居的普及让万物互联时代变得愈发具象,打通了科技与人类生活的最后一道屏障。因此,产品安全与数据保护,无疑是人类让渡自身隐私——尤其是在家,这个最隐蔽角落的底线。
而近日,一件令人细思极恐的事发生了。在Def Con黑客大会上,家庭服务机器人品牌科沃斯被点名了。两位研究人员测试科沃斯旗下扫地机器人等多款产品,发现存在严重的安全漏洞:
他们可以通过蓝牙轻松入侵并远程控制用户设备,并访问操作系统中的摄像头、麦克风等功能。
也就是说,扫地机器人可以成为一个近乎于“间谍”的存在。
8月13日,科沃斯方面作出回应,称实现上述攻击需要很多特殊的前提条件,且这些攻击方式仅对单台设备有效,不具备可复制性,因此在日常生活中发生攻击事件的概率很低,即使发生对用户隐私的侵犯程度也不大,用户无需担忧。
不过,在「科技新知」查看了这次研究的更多细节后,的确很难放下担忧。对品牌来说,如何修复市场的信任体系,也成了无法回避的问题。
监视疑云
贴在科沃斯上的标签显示出它的市场地位——“扫地机器人第一股”。据官网,其服务超过5000万家庭用户,推出了中国第一台扫地机器人,旗下洗地机连续4年全国销量第一。
如今,科沃斯被“隐私门”风波推至风口浪尖。
先来看看这次测试的可信度。Def Con黑客大会,是全球最大、最具影响力的计算机安全大会之一,有着“黑客奥斯卡”之称。参与者不仅有全球顶尖的安全领域研究人员,还有安全局、调查局等政府机构的官员。
此次曝光科沃斯的两名安全研究人员是Giese和Braelynn。他们测试了科沃斯旗下的多款热销产品以确保其漏洞的普遍性,包括:
Ecovacs Deebot 900,Deebot N8/T8,Deebot N9/T9,Deebot N10/T10,Deebot X1,Deebot T20,Deebot X2,Goat G1,Spybot Airbot Z1,Airbot AVA以及Airbot ANDY系列。
研究人员称,他们曾联系科沃斯报告这些漏洞,但从未收到公司的回复。他们认为,这些漏洞如未修复,可能会被黑客利用。
根据研究人员的说法,科沃斯的家居机器人没有指示器等设备来提醒人们摄像头和麦克风已打开。尽管一些特定型号可以每五分钟播放一次音频,通知用户摄像头已开启,但可以被黑客轻松停掉。
“黑客完全可以删除或用空文件覆盖该音频文件,这样一来,如果有人远程访问摄像头,则不再播放警告。”
除此之外,Giese和Braelynn还指出科沃斯设备的其他问题。比如:
即使删除用户的帐户,存储在机器人上的数据仍然会保留在科沃斯的云服务器上,认证令牌也继续留存在云端,让某人能够在删除帐户后继续访问,并有可能窥探接盘二手机器人的用户。
此外,一旦一台科沃斯机器人被“黑”,只要该设备在其它科沃斯机器人的范围内,那些设备也可能被攻击。
Giese在接受媒体采访时直言:“他们的安全性真的,真的,真的,真的很差(Their security was really, really, really, really bad)”。
事实上,科沃斯并非首个敲响扫地机器人隐私警钟的品牌。
2020年秋天,一张女子坐在马桶上如厕的照片出现在网络论坛上。除此之外,还有很多人们在家庭生活的场景,连面部表情都清晰可见。由于这些照片全都是仰视角度,很快,“偷拍者”的身份就暴露了——扫地机器人。
泄漏出的照片中,一位年轻女子正坐在自家马桶上。
彼时报道称,这些照片是由知名扫地机器人品牌iRobot拍摄的,这一功能主要用于机器学习和产品改进。委内瑞拉一家负责给iRobot进行图像标记的工作人员未遵守隐私协议,将照片泄漏在了网络上。
事实上,Giese早在几年前就盯上了iRobot。他发现,iRobot管理软件中有一个名为“AI服务器”的文件夹,具有图像上传功能。如此分析,一些公司所谓的“摄像头数据永远不会被发送到云端”,其实很难成立。
更何况,如果这些公司自己不说,或没有遭到黑客攻击的话,没有人能够验证他们以“训练模型”为由从客户那里具体收集了什么。有时,公司会采用一些含糊的措辞差异来描述其数据使用政策,例如,它们可能会说自己是“共享”数据,而不是“出售”数据。
2022年,美国《麻省理工科技评论》曾对12个扫地机器人品牌的隐私政策进行了审查,发现包括iRobot、科沃斯等品牌都存在文字游戏。
如此,在数据使用的天平上,用户很容易成为弱势的一方。对如何避免相关隐患变为现实,科沃斯近日向媒体表示,公司将使用技术手段,限制第二账户登录、加强蓝牙设备相互连接的二次验证、增加物理操作触发蓝牙连接等方式强化产品在蓝牙连接方面的安全性。
科沃斯方面还称:“对方指出的产品问题并非‘漏洞’,而是行业共同面对的问题。”
何以至此
比起产品问题,科沃斯近年被关注更多的仿佛是资本市场上的数字。毕竟曾经“扫地茅”的光环太吸睛了。
2018年,科沃斯圆梦上交所。从2020年4月起,只一年多光景,科沃斯市值狂飙,从15元/股涨到244.64元/股,涨幅超1600%。但好景不长,科沃斯股价便开始急速下跌。
与此同时,扫地机器人行业的新秀渐渐崛起,如成立于2014年的石头科技。与脱胎于制造业的科沃斯不同,石头科技背靠“小米系”,天然根植于互联网用户思维中。
老大哥地位不稳。2023年,科沃斯实现营收155.02亿元,归母净利润6.12亿元,同比下降63.96%。同期,石头科技营收虽然只有86.54亿元,但归母净利润达到20.51亿元,同比增长73.32%。
此次安全漏洞的曝光或许对科沃斯只是“偶然事件”,但偶发的背后早有必然的征兆。这些数据的另一面,便是科沃斯增长故事所遇到的挑战。
产品出了问题,首先看企业的经营策略发生了哪些变化。回溯科沃斯的发展史,的确能发现一些拐点。科沃斯创始人钱东奇眼光独到,有“风口之王”之称。1998年,他毅然放弃当时走向下坡路的吸尘器代工业务,决心建立自主品牌,押宝扫地机器人赛道。
乘着中国消费市场升级的东风,科沃斯发展提速,让钱东奇一跃成为国内的“机器人大王”。2018年,60岁的钱老将科沃斯交棒给儿子钱程。
据媒体报道,钱程主导建设了科沃斯的国际事业部,一心想扩充市场。他先是提出了“全球化、多品类、高科技”的九字经营策略,又推动科沃斯退出了赖以起家的服务机器人OEM业务及低端扫地机器人市场,试图聚焦中高端赛道。
围绕“多品类”,钱程一方面开辟机器人系列新产品,先后推出多功能空气净化机器人、擦窗机器人、扫拖吸一体机器人等家用清洁机器人产品,同时也布局了割草机器人等,试图突破室内场景的局限。
钱程的预判没有错,海外市场的确挣钱。但他没想到的是,科沃斯却在国内大本营失守了。在竞争激烈的行业价格战面前,科沃斯产品阵营的缺失,让其十分被动,只能硬着头皮降价促销。新产品火候未到,却要让利争夺市场,更是让企业陷入“增收不增利”的尴尬局面。
2023年的财报中,科沃斯方面也将利润“腰斩”的部分原因归咎于行业竞争加剧和国内市场中低价格段产品布局缺失。
对科技企业来说,面对日新月异的智能化生态,持续的创新研发费用是保持竞争力的核心。而相比同类品牌,近年科沃斯的研发投入比并不高,长期在5%上下徘徊。2023年虽整体费用稍提升,但占比仍低于其竞品。
与之形成对比的是销售费用的逐年上涨。据「科技新知」统计,自2020年至2023年,科沃斯销售费用占当年营业收入的比例逐年攀升。以2023年为例,科沃斯的销售费用为52.97亿元,同比增长14.60%,占总营收之比达34.17%。其中,占比最大的项目是广告营销及平台服务费,共计38亿元。
在对科沃斯的分析中,“重营销轻研发”策略受到普遍质疑。这或许也是其近年技术迭代稍显滞后的原因之一。据媒体报道,2023年5月,追觅针对“清洁死角”推出了搭载仿生机械臂技术的X20系列。而科沃斯则是在同年8月,才推出了对标的旗舰新品X2系列,只是将扫地机器人的形状从圆形修改为方形,厚度缩减得更窄。
何以为本
科沃斯或许本可以避免这场风波。比如在收到两位黑客的问询时,甚至更早之前。
多家媒体注意到,在此之前,社交平台上早有网友表示了对科沃斯扫地机器人偷窥隐私的担忧。
来源:科沃斯官网截图有网友称,他发现自家购买的科沃斯Z1的摄像头,在没有人操作的情况下会自己升降,因此怀疑这个摄像头能自己打开关闭。另一网友也怀疑自家的扫地机器人是个“偷窥狂”,并得到评论区网友的认同。对方表示,她家的科沃斯机器人充电灯突然亮起,还发出了一个男人的声音,她没办法不怀疑自己被偷窥和监视了。
在此节点出事,科沃斯没赶上好时候。在经历渗透率增长瓶颈后,2024年上半年扫地机器人终于实现量额齐升,占据清洁电器市场头部份额,领跑市场大盘。奥维云网推总数据显示,2024上半年扫地机器人销额销量均实现两位数增长,销额同比18.8%,销量同比11.9%。
扫地机器人企业通过功能升级,形成技术壁垒,方才推动了市场复苏。未来,行业若想继续向上发展,必然将与用户需求产生更紧密的交织。那么,数据安全与用户体验,都将是企业不容出错的要点。
在去年8月的科沃斯新品发布会上,钱程曾炮轰友商:“靠抄袭得来的产品,永远只能是形似,更谈不上什么用户体验。”
而在“隐私门”风波里,科沃斯产品的问题,已经平等地变为行业共同面对的问题。
隐私安全问题绝无小事。企业与其叮嘱用户无需担忧,不如认真回归问题源头,钻研技术,提升产品,杜绝隐患,这样才能让用户吃下定心丸,也才能真正给企业构建护城河。
隐私泄露、数据被窃,如何防范智能家居产品出现安全隐患?
年迈的父母在家是否安全?保姆看护小孩是否用心?家里有没有进小偷?家里安装一个摄像头,手机再安装一个APP ,就能随时随地远程查看家里的情况了,实在方便。 然而,近日记者调查发现,目前市面上的很多智能摄像头都存在技术漏洞,极易被破解,如今网上也出现公开贩卖破解智能摄像头的教程和软件。 同时,一些不法分子还利用这些安全漏洞,窥视他人家庭隐私生活,录制后在网上公开贩卖。 谁能想到本是用来保障家庭安全的设备,却被一些不良居心的人当做偷窥你的“利器”。 当你正满足于自己家庭的安全有保障时,你的隐私有可能正在莫名其妙的被直播。 随着越来越多的智能家居设备进入家庭,一些安全漏洞也频频爆出。 最近,亚马逊公司旗下一家公司研发的智能门铃被爆出,公司员工允许观看用户门铃摄像头拍摄的视频。 这款智能门铃由美国加州一家公司研发,门铃上带有摄像头。 用户可以通过手机和电脑与门铃连接。 当有人按门铃时,用户就可以通过摄像头清楚看到上门的人是谁,并与他们对话。 据英国一家网站爆料,研发这款门铃的公司允许员工观看“世界各地每一个”门铃摄像头所拍摄的视频。 爆料称,公司的工程师不仅可以看到一些用户“未经处理的”影像,而且还能在公司服务器上共享这些未加密视频。 对于这些情况,用户完全不知情。 对此,这家研发公司解释称,他们允许员工观看视频是为了更好的服务。 一旦发现公司员工滥用系统,将立刻采取措施。 其实,不仅仅是智能门铃。 您家中的智能电视、扫地机器人等等,都有可能正在“监视”着您的一举一动。 韩国三星公司2015年推出了一款智能电视。 用户可以通过语音识别软件,对电视“下指令”,实现开机、关机和换台。 然而,三星公司曾表示,如果用户下达的指令比较复杂,连通网络的智能电视就只能把用户说的话录下来,发送给第三方公司进行翻译。 而录音期间,所在环境中的“一切响动”都会被记录下来。 这也就意味着,“长出耳朵”的电视能听到的或许不仅仅是开机关机指令,可能还有“不该听的隐私”。 利用摄像头扫描周围环境,并执行自主清洁的扫地机器人,一直深受大家的喜爱。 可让人意想不到的是,在互联网的另一端,黑客手中的扫地机器人却变身成为了一位“间谍”。 原来,这家网络安全公司,在扫地机器人的登陆软件中发现了漏洞。 利用漏洞,黑客可以伪装成用户本人登陆,对家电进行远程遥控,实时看到家中的情况。 如何防范智能家居出现安全隐患?近年来,越来越多的智能家居让我们的生活更加便捷。 但随之而来的安全隐私问题也引起人们的关注。 那么在使用智能家居产品时,我们应该如何来保护自己的隐私呢?与此同时,业内人士还针对家用智能摄像头行业提出了建议:首先,亟须建立一套针对智能摄像头的信息安全标准。 其次,建议智能硬件开发商建立自己的运营平台,以保护消费者的数据安全,及时发现并阻断黑客的攻击。 最后,需要制定一套有效的应急响应预案,确保在安全漏洞出现后,能够快速响应,并最大程度降低用户的损失。 为智能摄像头安全漏洞打“补丁”还需联防联治在“互联网+”的时代,如何提高隐私安全成为了一个重要命题。 首先,厂商不能留下隐私安全漏洞,通过技术关口挡住窥探隐私的“不法之眼”。 其次,消费者自己除了阅读用户协议、安全设置密码、还要把摄像头安装远离隐私地带等。 一旦发现自己的隐私视频流出,要立即要求平台删除相关的视频,用法律武器维护权益。 借鉴电商法中个人数据这种数字资产的所有权处置权的法律设计。 当然最重要的是,相关部门要严格法治,一方面严厉打击叫卖扫描软件的行为,另一方面严厉打击盗取、传播和贩卖家庭隐私的行为。 只有堵住泄露隐私的黑洞,才能让人们真正放心享受到科技进步带来的红利。
智能家居沦为“生活间谍”,“看不见的客人”如何请走
家里的智能扫地机器人在你眼皮底下工作,“看不见的客人”通过内置的感应摄像头却在看着你……近日,韩国某品牌的智能扫地机器人被曝存在安全漏洞,黑客可以远程操控其在用户家中自由行动,窥探个人隐私。
原本有助于提升生活质量的“智能家居”沦为生活中的“间谍”,这着实是一件令人感到震惊的事情,而“家里的隐私”被“智能家居”设备给泄露,也更会令人感到有些毛骨悚然。 智能家居在给我们带来更舒适生活体验的同时,它的安全性越来越让人们担忧。
这里有一款常见的家用智能摄像头,目前这个摄像头是处在工作模式中,可以看到手机上显示的实时画面。 现在我来给大家展示一下如何利用漏洞和弱口令,入侵进摄像头并在电脑上播放摄像头所拍摄的画面。
不到一分钟时间,他成功入侵摄像头,并将画面传输进笔记本电脑里。
我们看一下本地文件夹,其中这三个文件就是传输过来的录像数据。
随后,这名工程师又展示了一个智能门锁的破译过程。
某厂商的智能门锁,他支持用门禁卡开锁。 当我们把门打开后,我们的恶意攻击者,尝试使用手机伪造的认证卡认证的,是认证失败的状态,但当手机近距离接触这个门禁卡,在我们的钱包里,恶意攻击者在我跟前接触过这张卡,就可以成功复制我这张卡上的信息,然后利用这张卡上的信息把门锁打开。
记者在qq搜索栏,输入摄像头破解,跳出了众多相关聊天群,随机添加几个,发现里面的内容涉及智能家居中的隐私,时不时会放出一些号称他人家中摄像头拍摄的画面。 有网友还主动添加记者为好友,询问是否需要扫描软件,并称这些软件可以攻破摄像头。
一名网络卖主还主动给记者发来一段视频,视频教授记者如何利用软件入侵他人家中的摄像头。
假如说知道序列号和密码,如果密码没改过,我就可以登录进去。
在一些qq群内,大量的ip地址会被群主作为聚拢人气的“礼物”,分享给网友。 在这群内,每天都有新增文件,包含三百到五百个IP地址,每份都被下载上百次。
这种软件是通过什么原理来扫描相关数据,获取IP地址的呢?
国家互联网应急中心高级工程师高胜:这其实就是一个扫描器,它使用预先设定的账号或弱口令密码,在网上进行扫描,从而可以发现存在漏洞的一些摄像头的IP地址,所使用的弱口令,一般是厂商通用的弱密码,或者是简短连续的数字和字母。
实际上,不光是家用摄像头,在用于城市管理、交通监测的公共摄像头,也存在利用弱口令就能打开的问题。 国家质检总局曾开展了智能摄像头质量安全风险监测。 风险评估专家认定,这些智能产品的风险等级为高等风险。
高等风险就意味着整个产品的信息安全是非常严重的,目前正在投入使用的这些摄像头都存在相当大的信息安全隐患。
国家质检总局共从市场上采集样品40批次,结果表明,32批次样品存在质量安全隐患。 正是这些技术漏洞,才让智能家居设备频遭入侵,而在这背后是一个逐渐形成的盗卖个人隐私黑色产业链。
应尽快出台智能家居产品的安全规范,进一步加强对市面上在售产品的安全性测试,探索建立企业隐私保护的信用机制。
家电设备智能化和网络化已成大势所趋,企业应注重研究在智能化道路上如何保护好用户的个人隐私,而不是一味强调甚至夸大功能性。 网络安全专家同时提醒用户,在选购智能家居设备时,应尽可能选择大品牌和大厂商生产的正规产品。
对消费者来说,能做的就是密码强度要高。 就是自己用的日常那些账号、密码的密码强度要高。 不要使用那些通用的密码,比如在一个小网站的一个账号密码是什么,淘宝、QQ密码也是什么。 这样通用密码会造成一旦你那个小的网站安全性比较弱,帐号密码泄漏了以后。 可能会影响到所有你的很关键的一些账号密码。 比如说淘宝、微信、支付宝、QQ、银行卡密码。
“智能家居”是未来社会发展趋势,作为新的产业、新生事物,除了便利,确保其安全性显然更重要。 既然在生活实践中已经发现“智能家居”设备存在不少的漏洞,就应当及时堵上。 企业在研发生产“智能家居”设备时,要提高其安全性设计,国家有关部门也应当尽快出具“智能家居”设备的安全标准,达不到安全标准的“智能家居”设备应当禁止入市。 同时,相关职能部门也应当严厉打击那些利用“智能家居”设备进行违法活动的新型犯罪,不能让其形成气候和灰色市场。
小米扫地机器人怎么样
生活节奏的加快使得我们打扫卫生的时间越来越少,让保洁员进屋打扫,很多朋友或许都不会这么做,一是自己的空间自己不在也不放心。 二是工作繁忙,根本没有时间打扫,所以这时候就需要一个替代品,此时扫地机机器人便应运而生。 那今天来给大家介绍小米扫地机器人怎么样?小米扫地机器人怎么样1、 所使用的是NIDEC的无刷电机, 其风压达到了1800Pa并且扫地刷可以上下浮动,这种主动式的设计非常超前。 2、清扫面积大,可以达到250平方米,与其相匹配的电池可达到5200毫安,一个扫地机器人能清扫这么大的面积,其性价比也是超高的。 3、能够精确的进行清扫,跟它所使用的传感器有着密不可分的关系,米家扫地机器人所使用传感器的精确距离竟能够达到一厘米,具有虚拟围栏功能,面对地面上的一些障碍物时,米家机器人也能轻松越过去,并且由于采用了滚刷、吸口互换配置,在不同的使用环境下能够为扫地机器人选择不同的模式进行清扫,所以清扫墙边缝隙的灰尘完全没有问题。 4、为了方便,使用者随时监控家里清楚的情况, 小米特意把扫地机器人也纳入了自家的米家APP之中,这样做能够使得即便是在家里没人的情况下也能够轻易的监控到,扫地机器人的一举一动就连它的位置和清扫的路径都可以随意的进行切换。 5、扫地机器人,内置了非常多的可选择模式,比如随机模式,来回模式,螺旋模式,真正的能够做到,通过传感器来识别每一个房间的情况,并将他们记录在案,然后一个角落也不落的,将它们清除掉。 6、搭载了通过Al图像识别,我可以准确识别房门特征,通过计算,确定“房门真实坐标”,自动实现房间分区。 同时,对于生成的图像文件,机器人会即用即销毁,保障隐私安全。 7、搭载的是LDS激光+视觉融合导航双SLAM融合算法,让它拥有一个聪明的脑袋。 扫地机的智商很重要,家里的房间有多复杂,一款好的扫地机从客厅出发可以做到家里全程无人还给你扫完所有房间,不管几室几厅都给你扫完然后自己回充电座充电,不会因为户型图的复杂而迷路或者卡住。 动态智能路径规划更强大。 8、对于我们大部分家庭来说,价格或许是非常重要的一个衡量标准,不到1600的价格着实有点让人心动。 9、小米扫地机器人有4种模式,安静、标准、强力、全速,越往高扫得越干净,噪音越大,这个和我们家里的吸烟机是一样的,还想吸力大,还想静音,目前的是很难解决的,我基本用的就是标准模式。 噪音影响看电视工作、当然安静模式扫地也就不是很干净了。 小米扫地机器人是个很好的家务清扫能手,能帮助我们快速清扫地面,把我们从清扫活动中解放出来,使我们能够把清扫活动的时间和精力用到更有意义的事情上。 10、T6的尘盒水箱容量都不小,而且拖地的时候不漏水,不仅节约用水,还更加安全,不在家时都能放心的让它家居清洁。 扫地机器人的选购要点1、清洁能力,清洁能力与扫地机的滚刷结构、设计和电机吸力有关,吸力越大,清洁效果越好,但耗电量和噪音也会随之增加,只要扫地机器人能够把扫过的废品都顺利吸收,也没必要过分的追求吸力。 2、寻路系统,如激光规划导航系统、V-SLAM视觉导航系统等。 相比之下,激光导航是目前较为成熟的一种技术解决方案,但是视觉导航系统未来将大有可为。 做个不太恰当比喻就是:就像是海豚,激光导航类似于声呐系统,它更为精准;而视觉导航则是它的眼睛,能识别所有看得见的东西。 3、智能程度,如是否支持手机APP控制;是否支持断点续扫,即在自动充电后,是否可以继续进行未完成的清扫工作;是否支持定时预约清扫;是否支持虚拟墙(虚拟墙是发射红外线信号阻隔扫地机器人进入用户不想让扫地机器人进入的空间的设备)分隔清扫区域;是否具有防跌落、防缠绕功能等。 4、续航能力,续航能力与电池容量正相关,电池容量越大续航越强,面积较大的房屋的房屋应该选择续航能力更强的扫地机。 5、拖地功能,扫拖一体的扫地机器人,一般都采用先扫后拖的形式,在完成地面的清扫后再开始拖地,二合一比较方便,不用再进行拖地或者购买拖地机器人。 以上就是关于小米扫地机器人怎么样以及扫地机器人的选购要点的介绍,希望对大家有用。 欢迎继续关注智和家,了解更多扫地机器人的知识。