智能產品安全 須行業、政府共同迴應挑戰

針對黑客聲稱科沃斯產品有安全問題的爭議,科沃斯迴應:黑客提出的安全隱患在用戶日常使用環境中,需要專業的黑客進行拆機或者掌握用戶賬號、密碼纔有可能復現,因此用戶不必爲此過慮,科沃斯產品在全球市場銷售正常,沒有出現產品下架的情況,其中部分老型號已經退市,但這些產品在日常使用中也不會有問題。

據外媒報道,黑客丹尼斯・吉斯(Dennis Giese)和布萊恩(Braelynn)在參加DefCon安全大會的公開演講中稱,他們通過破解手段發現科沃斯旗下部分產品存在安全隱患,黑客可能利用這些安全漏洞對用戶進行監視。這一消息引發了外界對科沃斯產品隱私安全性的擔憂,甚至將此事件描述爲“掃地機器人可能成爲偷窺工具”和“黑客可遠程監視用戶”。

科沃斯方面強調,科沃斯機器人產品,在消費者使用環境中是安全、可靠的,不存在安全方面的問題,消費者可以安心使用。

科沃斯方面並不認同黑客將他們發現的問題稱之爲安全漏洞,認爲對方破解的更多是一種機制或者說是行業共同面對的問題。科沃斯表示:“如果他們不物理接觸我們的產品,是沒有辦法破解的。科沃斯擔心黑客反編譯了部分程序,可能會做成工具對外釋放,所以會做一些針對性的安全策略變化,防止有不法之徒利用黑客的研究成果,對科沃斯產品做手腳、通過出售修改過系統的二手產品,侵犯用戶的權益。”

公開信息顯示,丹尼斯・吉斯作爲安全領域專家,過去幾年中持續對中國品牌的掃地機器人產品進行拆機破解研究,並在一些公開活動上公佈研究成果。Def Con安全大會是全球網絡安全領域最頂尖的專業會議之一,每年都能吸引全球安全領域專家、研究者、愛好者參會。這組黑客之前還聲稱破解了石頭、追覓、小米、雲鯨等國內知名企業的掃地機器人產品。

實際上,安全研究人員與企業間的“破解與反破解”在科技領域內已是常態。安全研究人員通過破解發現企業產品安全漏洞,企業則在獲悉後對破解路徑進行修復,雙方通過反覆攻防演練不斷優化產品安全保障機制,形成良好的互動。據外媒Wired報道,三位谷歌安全研究人員在本次DEFCON大會上演示了超過9個高通Adreno GPU驅動漏洞,而高通方面則表示已於2024年5月向OEM廠商提供相關漏洞補丁。

針對黑客破解可能造成的風險、隱患,黑客破解方式流出後引起的公衆安全風險,科沃斯方面表示:企業內部的研發人員會週期性的對安全措施進行升級,也會針對個別事件調整安全措施,封堵安全研究帶來的負面影響。安全研究領域使用的工具以及研究人員編寫的工具,都應該被法律和道德限制在特定領域內使用。這些工具和方法外流,包括機器人、電腦、手機、汽車等與網絡、電子相關的行業,都有很大的安全隱患。

國內曾出現的“熊貓燒香”病毒事件,使用第三方ROM導致消費者手機變磚等事件也提醒我們,智能產品和電子產品的安全,需要行業共同努力提升安全相關的措施、及時通報相關消息,也需要各國政府對類黑客行爲進行更嚴格的監管。