近日，安全研究人员丹尼斯・吉斯（Dennis Giese）和布莱恩（Braelynn）在Def Con黑客大会上公布了科沃斯扫地机器人和割草机产品漏洞，恶意黑客可以控制科沃斯生产的割草机器人和扫地机器人，并使用这些设备的摄像头和麦克风监视其主人。BlackHat黑帽大会和Def Con黑客大会被誉为黑客的“世界杯”和“奥斯卡”，于上周末在美国拉斯维加斯举行。研究人员表示他们分析了科沃斯品牌的10多款热销设备，覆盖扫地机器人、割草机器人和空气净化机器人。

上述信息发布后，引发了外界对科沃斯以及扫地机器人行业的整体质疑：家用扫地机会否被轻易破解？个人用户如何防范隐私泄露问题？

更新加密技术降低黑客入侵风险

8月13日下午，科沃斯方面组织媒体沟通会解释称，公司已成立安全委员会对产品安全性进行评估，“我们评估认为现有产品使用的验证连接方式不会对普通用户构成威胁，因为黑客需要用专业的工具，近距离或物理接触机器才能实现破解，且不可复制。同时公司也会加强产品安全措施，包括强化证书验证、加强网络劫持应对，实时监控漏洞、定期更新加密技术等，以降低黑客入侵风险。”

科沃斯相关负责人向南都记者表示，所谓的漏洞，其实是一种行业共性的机制，即产品使用蓝牙连接的过程可能会被黑客或不法分子钻空子实现控制，但在没有物理接触产品的情况下，黑客或不法分子没有办法破解，且暴力破解只对单台设备有效，不具可复制性。据其介绍，这一连接方式在智能家居设备中普遍使用，从去年年底开始，科沃斯一直在更换加密算法以增加破解难度。

针对研究人员曝光的割草机蓝牙连接安全隐患，科沃斯方面表示，和苹果耳机类似，100米范围内，任何手机都能发现割草机器人，目前机器采用的安全机制是PIN码验证+物理按键的双重验证连接方式，且不断更新验证方式以防止黑客劫持割草机。“这种劫持一定是违法的，且消费者很快可以发现，因此这类安全隐患，不构成对消费者日常使用的威胁，只是黑客的一种研究方式。”

科沃斯割草机。资料图

买卖二手扫地机应重置信息

值得关注的是，上述研究人员指出，即使删除用户账户，机器人上存储的数据仍会保留在科沃斯的云服务器上，身份验证令牌也会保留在云端，这样一来，删除账户后，用户仍可以访问扫地机器人，并有可能监视购买二手机器人的人。

对此，科沃斯方面表示，建议用户在出售扫地机产品时重置设备，删除本地数据，以防止个人信息泄露；但数据在云端的留存是应政策要求，云端信息会匿名保留且其他人无法查看。

消费者在购买二手产品时如何判断该设备是否被黑客入侵过？科沃斯方面向南都记者表示，首先黑客破解过的设备卖相都很难看，产品有被动过手脚的痕迹，比如塑料盖板上多个孔等；其次只要把设备重置，此前的破解就失效了。

科沃斯方面强调，经安全委员会评估，产品在网络连接、数据存储等方面是安全的，上述破解方式在用户日常使用环境中发生的概率极低，科沃斯也会不断强化安全保护措施手段以降低风险。

南都记者 马宁宁 发自上海