科沃斯“监视事件”背后:隐私泄露已成智能家电行业痛点
栏目:牛宝体育 发布时间:2024-11-17
 近日,被称为“扫地机器人第一股”的科沃斯面临隐私安全的质疑,让智能家居的隐私安全问题再一次登上风口浪尖。  在日前的Def Con安全大会上,两名安全研究人员丹尼斯・吉斯(Dennis Giese)和布莱恩(Braelynn)发布了科沃斯旗下产品安全漏洞,称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。  针对旗下产品存在安全漏洞的质疑,科沃斯向南都湾财社记者回应称,用户不必为此事

  近日,被称为“扫地机器人第一股”的科沃斯面临隐私安全的质疑,让智能家居的隐私安全问题再一次登上风口浪尖。

  在日前的Def Con安全大会上,两名安全研究人员丹尼斯・吉斯(Dennis Giese)和布莱恩(Braelynn)发布了科沃斯旗下产品安全漏洞,称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。

  针对旗下产品存在安全漏洞的质疑,科沃斯向南都湾财社记者回应称,用户不必为此事过虑,现在掌握的情况是不会影响到普通用户。两位黑客展示的是技术攻防中的破解手段,在日常生活中是非正常手段,是技术层面的,这在日常使用环境下基本不存在,不会对消费者日常使用产生影响。

  实际上,随着万物互联时代的到来,科沃斯陷入隐私安全漏洞的背后,也是整个智能家居行业所面临的发展挑战。

  南都湾财社记者梳理看到,在智能家电领域,近年来除了科沃斯,还有联想、小米、华为、中兴、TP-LINK、萤石、小度等多款家电产品如摄像头、智能音箱、儿童智能手表等曾出现过信息安全漏洞。相关事件中,如何看待智能家居品牌应承担的隐私安全责任和义务?为何智能家居设备的隐私安全问题会成为“沉疴痼疾”?

  过往案例中,不少知名家电品牌都曾陷入隐私安全问题。以海康威视子公司萤石网络为例,作为一家战略定位为物联网云平台服务和智能家居业务,萤石网络成立于2015年。招股书称,萤石网络在智能家居摄像机、智能猫眼、智能门锁等产品的细分领域均处于市场领先地位。

  但其此前曾因陷入隐私安全问题而备受关注。2021年12月,有网友在某短视频平台发布视频称,自己通过萤石云视频查看自家监控时,意外发现App内可以显示其他小区的实时监控视频,视频内容甚至包括保安室、楼道等,许多网友纷纷表示“细思极恐”。

  百度旗下小度的智能音箱也曾出现过隐私安全问题,原因也出自摄像头。2022年7月,“女子玩智能音响发现多名房客被拍”“小度回应女子玩智能音响发现多名房客被拍”等多个词条曾相继登上微博热搜,引发热议。

  据南都此前报道,羊女士(化名)在辽宁本溪一家民宿的房间里操作智能音箱时发现,音箱上有摄像头,且该设备已开启“看护模式”。羊女士表示,发现情况时这台智能音箱已捕捉到六七段自己和朋友在房间走动的视频,设备内还存储了不少其他顾客的隐私视频,其感到非常不舒服。

  其后,羊女士与房东沟通要求退房并报警,在带领警察去民宿内取证时发现智能音箱已被取走。此外,羊女士表示,在和警方沟通的过程中,发现该民宿并未在公安系统中报备。网友根据羊女士发布的视频指出,民宿内使用的智能音箱是百度旗下的小度智能屏产品。

  针对此事,小度官方曾回应称,小度智能屏的“看护助手”功能是为帮助用户在异地看护老人和孩子,其不会默认、自动开启摄像头及该功能,仅设备管理员有权限开启,且使用该功能时小度设备端会收到明确提醒。

  不仅是国内,国外的智能家居品牌也曾出现过不少隐私安全问题。2020年,iRobot的Roomba J7系列扫地机器人拍摄的照片,被委内瑞拉一家负责给其收集的图像进行标记的承包商,将一名女性用户在家中上厕所的图片发到了网上,包括一些敏感的家庭生活场景。这些照片原本用于机器学习和产品改进,但由于工作人员未遵守隐私协议,导致信息泄露事件。

  值得注意的是,智能家居产品层出不穷的信息安全问题,并不是未曾受到关注。近年来,全国各地的消费者权益保护委员会也曾在测评中发现不少问题。

  南都湾财社记者梳理看到,以2023年河北省石家庄市消保委对长虹、华为、读书郎、小天才、小寻、清华同方、360、顺新亿、守护佳等12款儿童智能手表样品的比较试验为例,其报告惊人地显示:测试的全部样品在信息安全检测方面均存在不同程度的高危漏洞。

  河北省石家庄市消保委的信息安全检测,主要是从恶意程序、权限滥用和隐私泄露三个方面对样品的信息安全开展测评。恶意程序检测项主要是评估产品应用程序的自身防护机制以及是否存在高危漏洞,权限滥用检测项主要是评估产品应用程序是否具备访问控制策略,隐私泄露检测项主要是评估个人信息保护政策是否清晰、准确、完整地描述个人信息控制者的个人信息处理行为,三项均是根据T/CPQS E00037-2022网联消费电器信息安全通用技术有关要求对产品开展评价。

  结果显示,12款样品在权限滥用与隐私泄露两个检测项目上表现一致,均具备访问控制策略,个人信息保护政策清晰、准确,能完整描述个人信息控制者的个人信息处理行为。但在恶意程序检测项方面,12款样品则都存在不同程度的高危漏洞。

  其中,PLOYER、小寻、清华同方等品牌样品存在高危漏洞最多,达3个。而华为品牌样品的高危漏洞有2个,读书郎品牌样品的漏洞有1个。

  除了儿童手表,还有消保委对摄像头产品进行比较试验,同样发现了诸多信息安全隐患。2023年,广西消费者权益保护委员会发布的家用摄像头比较试验结果显示:15款样品中,存在信息安全隐患的产品涉及联想Lenovo、小值、海雀(华为)、小米、ZTE中兴、TP-LINK等10个品牌。

  广西消费者权益保护委员会的信息安全指标测试,主要参照推荐性国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》,对“收集个人信息的最小必要”和“收集个人信息时的授权同意”两个项目,分别在iOS系统和安卓系统上进行检测和对比。

  测试结果显示,家用摄像头商品的APP普遍存在信息安全隐患。15款家用摄像头样品的APP信息安全测试项目中,除“萤石”“魔方鸟”的摄像头样品外,其余13款摄像头样品均存在部分项目不符合推荐性国家标准的情况,其中“联想”的样品全部不符合推荐性国家标准。

  为何智能家居隐私安全问题层出不穷难化解?北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括向南都湾财社记者表示,核心的根本原因还是商家的创收、盈利冲突,因此可能在采集数据的过程当中出现隐瞒以及超限采集等不法情况。此外,在采集之后,商家疏于对数据安全的保护工作,同时因为创收盈利的冲突会出现对于个人信息和其他数据的滥用情况。

  智能家居设备可能存在哪些漏洞和安全隐患?北京汉华飞天信安科技有限公司总经理彭根向南都湾财社记者指出,多数智能家居设备,无论是蓝牙还是WiFi连接,都有其代码逻辑,只要有这种逻辑,就可能存在漏洞。“比如说它是一个WiFi但不是路由器,但它告诉所有设备‘我是一个路由器’,那么其他设备是没办法去甄别它的,可能直接默认就连接上了。这样的话WiFi欺骗的情况诞生了,也是漏洞诞生的一个逻辑。”

  如何防范类似事件的发生?彭根建议,用户如果发现智能家居设备有麦克风、摄像头等功能,尽量选择将其放在离因私环境较远的地方;此外,要管理好账户,不要随便换口令,采取必要的安全措施,如断开物联网设备的互联网连接,以降低被远程攻击的风险。同时,用户也应对家中的智能设备进行定期的安全检查,确保其固件和软件更新至最新版本,以减少被利用的安全漏洞。

  吴沈括认为,对用户而言,一方面在使用此类产品和服务的过程当中要有自我保护意识,包括对于服务协议、服务条款的认真阅读。同时,牛宝体育APP在使用过程中,注意最小限度地提供与隐私强相关的个人信息和其他数据。此外,在发现异常情况甚至违法情形时,要及时主动向产品服务提供者或者主管机关、监管机关做出投诉举报,以此来最大限度地保护自身合法权益。

  目前,我国的法律法规对智能家居设备在信息采集与使用方面,已有一些行业统一标准和法律约束。

  工信部、国标委印发的《智慧家庭综合标准化体系建设指南》曾明确,要着重研制用户个人信息安全、数据安全和系统安全等标准,提升产业基本安全保障能力。不论从市场还是规范角度看,如何堵上这一漏洞关乎智能家电的未来发展。对此,已有包括国家标准、行业标准在内的多部标准相继出台,建立了智能家居的安全基准,为智能家电使用者的隐私安全保驾护航。例如,行业标准《物联网智能家居安全技术要求》规定,应保证收集的数据最小化原则,仅采集和保存业务必须的用户个人信息;应保证用户拥有充分的知情权。

  不过,智能家居设备的数据收集工作,往往是为了提升产品的智能化,该如何兼顾智能化和隐私安全?

  彭根认为,智能设备的数据收集,现在已有的《数据安全法》和《个人信息保护法》,都对数据安全和个人信息保护有相应的条款和要求。“比如我们常说到的个人隐私数据收集提前告知,让用户充分同意是否实行一些删除的权限等,目前法律层面已经有清晰的划分。”

  吴沈括认为,两者的兼顾要做到两点,第一是要充分尊重用户的自主选择,在全面披露相关信息的基础上,获得用户的自愿和明确授权。此外,商家应当恪守商业底线,抑制自身的创收冲动,以免出现对于用户信息的超限滥用。