近日，安全研究人员丹尼斯·吉斯（Dennis Giese）和布莱恩（Braelynn）在Def Con黑客大会上演示并报告了科沃斯（Ecovacs）扫地机器人和割草机产品漏洞，恶意黑客可以控制科沃斯生产的割草机器人和扫地机器人，并使用这些设备的摄像头和麦克风监视其主人。BlackHat黑帽大会和Def Con黑客大会被誉为黑客的“世界杯”和“奥斯卡”，于上周末在美国拉斯维加斯举行，旨在分享安全社区的最新研究、黑客技术和知识。研究人员表示他们分析了科沃斯的10多款热销设备，覆盖扫地机器人、割草机器人和空气净化机器人。

　　上述研究人员表示，科沃斯产品的主要问题在于存在一个漏洞，任何人只要使用手机，就能通过蓝牙从450英尺（约130米）远的地方连接并控制科沃斯机器人。“你发送一个有效载荷，只需一秒钟，它就会重新连接到我们的机器。例如，它可以重新连接到互联网上的服务器。从那里，我们可以远程控制机器人。”丹尼斯·吉斯说，“我们可以读取Wi-Fi凭证，我们可以读取所有（保存的房间）地图，访问摄像头、麦克风等等。”
　　上述研究人员表示，割草机器人始终开启蓝牙，而扫地机器人在开启时会启用蓝牙20分钟，并且每天自动重启一次，因此扫地机更难被黑客入侵。由于大多数新型科沃斯机器人都配备了至少一个摄像头和一个麦克风，一旦黑客控制了入侵的机器人，这些扫地机器人就可以变成“监视工具”。同时这些机器人没有硬件指示灯或任何其他指示灯来提醒附近的人它们的摄像头和麦克风已打开。
　　通过被黑客入侵的科沃斯设备可以看到一只狗。（图片来源：Dennis Giese 和 Braelynn）
　　除了黑客攻击的风险之外，研究人员还发现了科沃斯设备的其他问题，包括：即使删除用户账户，机器人上存储的数据仍会保留在科沃斯的云服务器上，身份验证令牌也会保留在云端，这样一来，删除账户后，用户仍可以访问扫地机器人，并有可能监视购买二手机器人的人。此外，割草机器人还具有防盗机制，如果用户拿起机器人，就会强制输入PIN码，但PIN码以明文形式存储在割草机内，因此黑客可以轻松找到并使用它。
　　对此，科沃斯方面回复南都记者称，每一个破解都是非法的，日常难以复现，与消费者的日常使用场景距离很远，发生概率极低，影响极小。
　　作为“扫地机器人第一股”，科沃斯自2018年上市后一度被认为是高成长企业，但从2022年开始，其业绩踩下“急刹车”。2023年财报显示，科沃斯全年营业收入为155亿元，同比增长1.16%，归母净利润为6.1亿元，同比降低63.96%。其中境内市场实现营收89.8亿元，同比下滑11.43%，收入占比为57.93%；境外市场实现营收65.22亿元，同比增长25.76%，收入占比为42.07%。
　　目前科沃斯业务分为科沃斯服务机器人、添可智能生活电器和清洁类电器代工。其中科沃斯品牌下产品线包括扫地机器人、擦窗机器人和空气净化机器人等在内的多款针对家庭地面清洁与环境健康的服务机器人，以及针对庭院护理场景的割草机器人。
　　年报显示，2024年科沃斯将加大海外市场拓展力度，提高海外收入贡献。其中，科沃斯品牌将以尖端技术为核心驱动，积极推动新一代扫地机器人产品在海外市场的落地，并致力于中国与海外市场的同步上新；添可品牌亦将持续加大国际市场的投入及旗舰新品的引入。
　　此外值得关注的是，在本届Def Con黑客大会上，网络安全公司CrowdStrike成为焦点。CrowdStrike 总裁迈克尔·森托纳斯亲自领取了“史诗级失败”奖，原因是该公司的软件在7月19日的一次更新导致全球各地的Windows计算机宕机，扰乱了企业、机场、火车站、银行、广播公司和医疗保健部门的正常运营。
　　与此同时，CrowdStrike正面临投资者的集体诉讼。股东们指控该公司因软件测试不充分，引发了全球宕机事件的灾难性后果。在事件发生后的12天内（9个交易日），CrowdStrike股价大跌32%，市值蒸发超250亿美元。股东们称，CrowdStrike对其技术的保证存在重大虚假和误导性声明。
　　南都记者马宁宁发自上海
（文章来源：南方都市报）