科沃斯回应产品信息安然质疑 智能家电行业规范待完善

针对上述问题，科沃斯在回应南方财经全媒体采访时表示，数据安全和用户隐私是科沃斯最重视的问题之一，科沃斯机器人安全委员会就产品在网络连接、数据存储等问题做了内部研究和评议，其得到的结论是：这些安全隐患在用户日常利用环境中的发生概率极低，须要专业的黑客工具且近间隔打仗机器才有可能完成，故用户不必为此过虑。

南方财经全媒体梳理发现，在物联网与家电智能化快速发展的同时，除扫地机器人外，智能门锁、家用摄像头等新兴智能家居设备近年来亦涌现多次隐私安全问题，但干系的行业细分法规和标准依旧处于缺位状态。

如何在涉及颇多个人隐私信息的家庭生活场景中做好信息安全防护，依旧是智能家居行业亟待办理的问题。

远程破解风险

据两位安全研究职员Dennis Giese和Braelynn先容，科沃斯的安全问题紧张在于蓝牙连接，黑客可以通过手机在450英尺（约130米）范围内匹配到设备并对其加以掌握，一旦实现掌握，就可通过机器人自带的WiFi联网功能连接到做事器，实现对其远程操控。

目前，科沃斯的扫地机器人设备采纳的戒备方法，是在开启后会启用20分钟蓝牙，且每天自动重启一次，但该品牌旗下割草机的蓝牙则始终保持打开状态；此外，在摄像头打开的同时，设备每五分钟会播放一次音频文件以提醒用户设备处于打开状态，但Dennis Giese表示，黑客可以删除该音频文件以保持破解设备的暗藏性。

对此，科沃斯方面表示，将会利用技能手段限定第二账户登录、加强蓝牙设备相互连接的二次验证、增加物理操作触发蓝牙连接等办法强化产品在蓝牙连接方面的安全性。

“蓝牙安全一贯是一个旧调重弹的安全问题。
”梆梆安全泰斗实验室卖力人吴建平在接管南方财经全媒体采访时指出，由于蓝牙的配对密钥是一个纯数字的4位或6位密码，在仅存在一万或一百万可能的情形下，当代打算机是可以在几秒钟内就破译成功的。

除了蓝牙干系的漏洞外，两位研究职员还创造了科沃斯产品的其他安全问题，其指出，即便已删除了用户账号，机器人的干系数据仍会被保存在云做事器中；用户的身份认证令牌也被保存在云端，这可能导致干系用户在删除账户后仍能访问设备，使得二手购买机器的用户隐私安全受到威胁。

吴建平指出，《中华公民共和国数据安全法》等法律法规规定了特定条件下厂商对用户数据的存储周期，常日当用户删除账号后，厂商只要在对应期限内销毁干系数据即可。

但在当前的数据监管实践中，除部分涉及数据出境业务的企业，监管部门大部分情形下对干系数据销毁的落实情形并不会细究，这就使得数据销毁依赖于厂商的自觉性，从而加大了云做事器被攻破后干系数据透露的风险。

南方财经全媒体梳理发现，在科沃斯配套APP的隐私协议中，其表示用户在注销APP账号后，厂商将“仅在本政策所述目的所必需期间和法律法规许可的最永劫限内保留您的个人信息，超过该时限我们将及时予以删除或匿名化处理”。

对此科沃斯表示，会通过产品软件更新，实时生效token失落效机制，增加获取token的难度，重置设备后打消日志信息，以保障数据安全。
此外也将提醒用户，如果要将设备转让他人利用，应重置设备，以防止信息透露。

“就本次安全职员发布的问题来看，须要保持在设备一定范围内或拆机等物理性条件才能实现破解，普通用户在利用中可以通过重置机器设置、及时检讨机器状态等方法加以规避。
”一位智能家居行业从业者在与互换时表示。

在科沃斯的回应中，其进一步表示，公司尊重安全专家通过研究创造产品隐患，并主动与企业沟通的处事习气。
科沃斯机器人认为安全专家通过攻防演习训练和成果发布与企业互动，有助于提高产品安全性。

行业规范缺位

梳理近年来智能家居干系的事宜，因安全漏洞而导致的隐私争议并不罕见，除扫地机器人外，家用摄像头、智能门锁等自带图像、声音传感器和存储能力的联网设备，理论上均存在被远程破解从而导致个人信息透露的风险。

各种智能家居家电产品安全问题频现背后，一方面是企业安全培植有待进一步提升的现状，另一方面也存在干系领域的监管细则缺位的情形。

以扫地机器人领域为例，当前行业内紧张参考的通用安全标准为《家用和类似用场做事机器人安全通用哀求》（GB/T 41527-2022），但该标准仅涉及标志息争释、稳定性和机器危险、机器强度、构造等物理层面的安全问题，但并未包含设备本身的操作系统及其采集的用户个人信息干系的安全问题。

吴建平指出，当前我国虽然在网络安全、硬件设计制造等方面均有法规哀求，但在软硬件结合的智能产品领域一贯缺少相应的细分标准，在此根本上延伸的各种安全哀求和保障方法亦无从谈起。

以当前普遍运用于海内智能硬件的核心器件——芯片为例，对付一些利用国外产芯片或者设计方案借鉴国外思路的芯片，海内厂商虽然利用了产品，但并未沿袭其一整套掩护的体系与流程，这就使得底层Linux系统的漏洞永劫光无法得到修复。

“例如被甲骨文公司收购的Java编程措辞软件做事商，对付干系软件和系统在哪类硬件上进走运行，主板利用的是哪一类协议，可能存在哪些漏洞，甲骨文公司都会对其进行管控，一方面便于坚持订阅制收费，另一方面也有助于保障软硬件安全。
”吴建平表示。

但在部分中国厂商从前粗放式发展的过程中，对软件、元器件的利用标准每每是“能用就行”，这就导致很多配套的安全管理方法未能及时跟上，而厂商又通过专利保护等办法割断了第三方检测其硬件设计、架构办法的路子，无法获取其硬件版本信息，使得大部分网络安全渗透测试也每每止步于运用层，而未能下沉到硬件层。

对此，吴建平进一步建议，一方面要完善干系的行业标准培植，授予监管或第三方考验和测试智能硬件产品安全性的路子；另一方面中国厂商也可以优先考虑采取海内的架构技能，便于监管机构从企业的采购名单中进行监管，提升整体产品设计在安全层面的透明度与可靠性。

更多内容请下载21财经APP