近日，在Def Con安全大会上，两位安全研究人员介绍，他们发现科沃斯（Ecovacs）旗下的扫地机器人产品存在蓝牙连接安全和用户隐私泄露问题。通过蓝牙连接沃斯机器人后，攻击者可以通过产品自带的Wi-Fi连接功能对其远程控制，并访问其操作系统中的房间地图、摄像头、麦克风等功能和信息。

赛迪机器人检测实验室依托国家机器人检测与评定中心，早在2021年开始陆续对国内外主流品牌扫地机器人开展了信息安全测试，发现存在的主要问题包括：

（1）API接口漏洞。攻击者可以利用API接口的漏洞，获取、篡改、监听机器人的通信信息；或入侵机器人操作系统，获取系统权限，实现对机器人的劫持或敏感数据窃取。

（2）固件未加密。未加密的固件易受到破解和未授权的篡改，可能导致系统配置、身份凭证等敏感信息被窃取及恶意代码被注入到设备中。

（3）软件更新缺乏真实性验证。设备进行固件更新时不会验证固件更新包的真实性，攻击者可伪造身份发布虚假的固件更新包（恶意软件）引导用户安装，可能导致设备非法控制、用户隐私泄露、设备功能异常等一系列安全问题。

（4）调试接口未授权风险。设备硬件暴露的物理调试接口不存在身份验证机制，攻击者可轻易通过调试接口访问设备系统，存在隐私泄露风险。

（5）设备唯一标识篡改风险。设备序列号能够通过软件的方式篡改，可能导致设备与服务器的身份验证失败或设备被误认为是非法设备。

（6）恢复出厂设置数据残留。恢复出厂设置功能并不会完全删除所有使用过程中生成的数据，敏感日志文件依然存在，二手设备的出售或使用存在隐私泄露风险。

（7）蓝牙远程代码执行漏洞。用户通过蓝牙进行通信配置，其配置功能输入验证不足，载入攻击命令可实现远程命令执行从而破坏机器人的正常工作，实现远程控制。

随着扫地机器人等服务机器人逐步渗透到人类经济与社会生活的方方面面，保障产品的信息安全和数据安全尤为重要，其安全问题将直接影响用户的隐私保护、家庭安全乃至国家安全。赛迪机器人检测实验室正积极开展《服务机器人信息安全通用技术规范》团体标准和《服务机器人信息安全通用要求》国家标准的制定，并已经推出了赛迪机器人信息安全认证服务，可针对服务机器人产品与系统的硬件安全、控制系统安全、应用程序安全、通信与数据安全等方面提供检测、认证及安全解决方案等服务，辅助研发和应用单位提升产品和应用安全水平。

业务咨询的电话：010-60738210