扫地机器人也会偷拍你

作者/薛机智  编辑/丽雅  排版/忠瑞

正在陕西西安举办的“2021国家网络安全宣传周”上，工作人员向人们展示了一台普通扫地机器人是如何秒变窃听、偷窥工具的。这也就是说，随着扫地机器人把你家清理个干干净净，你自己的数据隐私可能也已经被厂商和黑客一览无余。一时间“扫地机器人存漏洞或成窃听偷窥工具”的话题被引爆，登上微博热搜，引发千万网友讨论。

其实数据安全隐患问题并非只存在于扫地机、智能摄像头等智能家电行业，其早已渗透到国民经济各个角落，例如快递行业的一张包含姓名、电话、住址等敏感信息的快递面单；被各种后台APP频繁读取的手机定位、通讯录等等。随着大数据应用渗透至各行各业各经济体，个人信息也成为“黑产”市场中赤手可热的“唐僧肉”。

安全隐患不止一隅

信息科技不断发展，“5G”时代到来后，网络与人们的生活息息相关，在深入生活的同时，网络安全的威胁和风险漏洞也日益凸显。值得关注的是，当智能家电占据物联网世界时，在智能家电硬件安全之外，软件安全或许更重要。

你知道吗，在这些智能的背后，其实存在着许多安全隐患。

喊一声就能听音乐，问一下就能知道今天的天气，说一句就能打开家里的电器……小爱同学、小度等已经成为许多人离不开的“小管家”，有了它们，你就可以在家里躺平，有“人”来为你打点好家里的一切。

但在2018年曾有消息曝出，上千万用户与智能音箱的对话被厂商留存获取，这不禁使智商税研究中心毛骨悚然，难道这意味着，有智能音箱的家庭，在家里的谈话内容，厂商都记录得清清楚楚？

这是否涉嫌侵犯了用户隐私，智商税研究中心不是专家无从可考，但可以确定的一件事是，看似不起眼的智能音箱，也是家庭隐私的收集利器，你和它说过的每句话，或许都成为了厂商数据之一。同为扫地机器人厂商，科沃斯近期推出的扫地机新品地宝X1内置了语言交互助手，又是否会产生类似智能音箱泄漏个人隐私的问题？

还有各种各样的摄像头产品，2017年国家质检总局产品质量监督司针对智能摄像头可能存在的信息安全危害，从市面上采集了40批次的样品进行监测。结果显示，80%的批次存在安全隐患。样品存在后端信息系统越权漏洞、允许任意查看或下载存储在后端信息系统的用户注册信息和监控视频等问题。

上述事件不得不引起智商税研究中心对于智能家电安全性的反思，我们在享受这些智能设备带来的便捷生活时，必须要重视对自身数据安全的保护。因为我们不仅非常容易陷入厂商的各种令人不耐烦的“隐私协议”陷阱，还会有黑客觊觎我们的使用数据，完全地防不胜防，几乎是稍不留神就没了隐私。

对此，南开大学前校长、新一代人工智能发展战略研究院执行院长龚克提出了一个观点：“希望市场上能有各种软件产品和服务来查找和封堵非必要的采集数据、超越时间地点等必要使用范围的存储、传输数据的毛病，就像当年的防病毒、查病毒的软件一样。在人工智能算法时代，也要有一批这样的应用软件诞生。”

国家政策层面重拳出击

更宏观的角度看，当前，数据已成为国家基础性战略资源、重要生产要素，对于推动经济高质量发展，助力国家治理体系和治理能力现代化具有重要作用。一系列国家政策层面的关注持续增强。

下半年，随着《中华人民共和国数据安全法》（以下简称《数据安全法》）正式实施，我国形成了《网络安全法》《数据安全法》《个人信息保护法》三法并行的局面，对个人信息保护、数据安全等问题提出了一系列要求，从制度层面明确了我国数据安全治理体系的顶层设计，可以给不法分子形成有效的威慑力，也给了厂商更大的制约。龚克也表示：需要对于厂商服务进行数据采集的必要性以及相关的时间、范围等等有所规制。

在企业层面，随着三法推行，行业企业对数据安全领域的合规有着强烈的意愿，企业数据安全治理、数据安全保障、数据安全体系建设的重要性不断增强。

首先是厂商必须要严于律己，真正地为用户考虑，保障用户的信息安全，主动将自身产品送检，做相关的隐私安全认证，用数据给用户吃一颗“定心丸”。现在的硬件安全，其实主要还是要看生产硬件的公司的网络安全。

智商税研究中心在此不得不提一下智能扫地机厂商石头科技。在搜索资料中，我们发现，早在2020年石头扫地机器人T7 Pro就通过了德国莱茵TÜV隐私安全认证，也是全球首个通过此安全认证的扫地机器人。

通过这个认证也意味着石头产品的隐私安全符合号称“史上最严的数据隐私保护法”的 GDPR 欧盟《通用数据保护条例》和 CCPA 美国加州消费者隐私法案要求。消费者日常使用时，可以不必担心自己的隐私泄露问题，有效避免了开篇提及的那一幕，更放心地享受科技为生活带来的便利。

公开资料显示，石头扫地机器人采用AES算法加密存储，只有在APP请求照片的时候才会向外传输。照片在传输到APP的过程中采用了端到端的加密技术，只有请求照片的APP能够解密照片，任何其他中间环节包括石头科技公司在内都不能解密照片。照片在手机端只在内存中处理，不持久化存储，可见其在数据安全方面的克制与重视。

现如今，在政策和头部企业带动下，有越来越多企业把确保用户数据安全提上日程，保证自身产品符合规定，保障市场的正常运行。

而对用户来说，智商税研究中心建议大家在购买相关产品时，要尽可能选择有安全保障的产品，主动询问其产品是否有相关的隐私安全认证资质。另外使用产品时一定要认真研读用户隐私协议，不要随意勾选同意选项，在开通产品使用权限时看清楚它是用来干什么的，不要想也不想就随意打开。

数据隐私泄露其实很难

根据艾媒咨询数据显示,2020 年中国家居用户使用最多的智能家居产品就是扫地机器人 ,占比高达 40.8%。扫地机器人作为智能家电中的明星产品，它没有你想的那么简单，其实也存在安全隐忧，它甚至可以摇身一变，成为窃听、偷窥的工具。

当前越来越多的扫地机器人为了更加智能化而加入了摄像头功能，模拟人眼感知环境进行避障，用户通过手机APP就能实时查看到家中状况。目前，视觉避障式摄像头是扫地机器人采取的主流形式。

上文对智能家电方面的安全隐患分析，是不是让你对物联网家电充满了怀疑？可数据隐私泄露真有你想象中的那么容易，无处不在么？接下来，智商税研究中心将从技术角度讨论，窃听/视的技术难度究竟有多大？这种1v1的窃听改造是否有价值？

先说难度。拿石头扫地机器人T7 Pro为例，就硬件方面来说，其将业内运用于手机领域的高通骁龙8核芯片运用到扫地机器人上，不仅带来了算力的大幅提升，而且还为T7 Pro的固件安全性提供了硬件级保障。

软件方面，石头研发团队在程序运行安全、OTA在线升级以及数据输出这三方面进行了严格的加密处理，保障了扫地机器人只能运行和OTA升级石头官方固件，任何非官方的固件都无法安装、运行、以及访问机器摄像头。

另外，石头对于网络数据传输的安全也十分重视，使用了业界标准的TLS加密技术，保障石头扫地机器人从机器固件端到手机APP端传输过程中的信息安全。

从软硬件到整个的传输过程，黑客从技术方面实现突破需要费很大的功夫，但对于像石头科技这样的公司而言，其也在不断优化自身，有专业的研发团队作为保障用户信息安全的坚强后盾，很有可能黑客刚刚实现破解，公司端便已经优化。

再说价值。监视、听功能几乎在所有物联网家电都可以实现，而通过破解端口获取智能家居的控制权也并不新鲜，如果按这么来说，物联网家电的存在简直就是bug满满。但智商税研究中心在此有一个疑问，人家黑客图的啥呢费那么老大劲去偷听你家机密，只为了获取聊天中的私密话题还是说去控制你家机器人去帮你扫地？

怎么想这件事情也都是付出成本>潜在收益，所以智能家电窃取信息或者被黑客控制的情况很少出现的原因，就在于此，性价比实在太低。