掃地機成“監視工具”?科沃斯被曝安全漏洞,多款產品下架快訊
“掃地機器人第一股”科沃斯陷入隱私安全質疑。近日,兩名安全研究人員丹尼斯?吉斯(DennisGiese)和布萊恩(Braelynn)在DefCon安全大會發布了科沃斯旗下產品安全漏洞,稱攻擊者可通過這些漏洞利用設備內置的攝像頭和麥克風監視用戶。
天天消費訊,“掃地機器人第一股”科沃斯陷入隱私安全質疑。近日,兩名安全研究人員丹尼斯?吉斯(DennisGiese)和布萊恩(Braelynn)在DefCon安全大會發布了科沃斯旗下產品安全漏洞,稱攻擊者可通過這些漏洞利用設備內置的攝像頭和麥克風監視用戶。
被曝安全漏洞,掃地機變“監視工具”
據了解,BlackHat黑帽大會和DefCon黑客大會被譽為黑客的“世界杯”和“奧斯卡”,于上周末在美國拉斯維加斯舉行,旨在分享安全社區的最新研究、黑客技術和知識。研究人員表示他們分析了科沃斯的10多款熱銷設備,覆蓋掃地機器人、割草機器人和空氣凈化機器人。
上述研究人員表示,科沃斯產品的主要問題在于存在一個漏洞,任何人只要使用手機,就能通過藍牙從450英尺(約130米)遠的地方連接并控制科沃斯機器人。
“你發送一個有效載荷,只需一秒鐘,它就會重新連接到我們的機器。例如,它可以重新連接到互聯網上的服務器。從那里,我們可以遠程控制機器人。”丹尼斯?吉斯說,“我們可以讀取Wi-Fi憑證,我們可以讀取所有(保存的房間)地圖,訪問攝像頭、麥克風等等。”
上述研究人員表示,割草機器人始終開啟藍牙,而掃地機器人在開啟時會啟用藍牙20分鐘,并且每天自動重啟一次,因此掃地機更難被黑客入侵。由于大多數新型科沃斯機器人都配備了至少一個攝像頭和一個麥克風,一旦黑客控制了入侵的機器人,這些掃地機器人就可以變成“監視工具”。同時這些機器人沒有硬件指示燈或任何其他指示燈來提醒附近的人它們的攝像頭和麥克風已打開。
除了黑客攻擊的風險之外,研究人員還發現了科沃斯設備的其他問題,包括:即使刪除用戶賬戶,機器人上存儲的數據仍會保留在科沃斯的云服務器上,身份驗證令牌也會保留在云端,這樣一來,刪除賬戶后,用戶仍可以訪問掃地機器人,并有可能監視購買二手機器人的人。
此外,割草機器人還具有防盜機制,如果用戶拿起機器人,就會強制輸入PIN碼,但PIN碼以明文形式存儲在割草機內,因此黑客可以輕松找到并使用它。
研究人員表示以下設備均存在安全漏洞:EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsDeebotN9/T9、EcovacsDeebotN10/T10、EcovacsDeebotX1、EcovacsDeebotT20、EcovacsDeebotX2、EcovacsGoatG1、EcovacsSpybotAirbotZ1、EcovacsAirbotAVA、EcovacsAirbotANDY。
科沃斯否認“漏洞”,多款產品下架
8月13日下午,在科沃斯“針對數據安全相關疑問回應”電話會上,科沃斯大中華區公關總監馬憲彬表示,DennisGiese和Braelynn兩位安全研究人員一直以來對我國掃地機器人企業的產品安全很感興趣,對國內其他品牌的產品也做過一些相對應的研究,“兩位研究員是學無線跟嵌入式設備的”。
本次事件的背景是兩位安全研究人員在美國DefCon安全大會上聲稱要發表演講,演示如何攻擊科沃斯的設備,但目前尚未公布其演講視頻。針對上述兩位研究員做的攻擊路徑和技巧,科沃斯從去年開始到現在一直在做技術上的補強,有可能突破的路徑已經被封死,所以到目前為止兩位安全研究人員本來計劃要發布的內容并未發布。
科沃斯方面認為,對方指出的產品問題并非“漏洞”,而是行業共同面對的問題,即在一些驗證連接的過程中可能會被別有用心的人“鉆空子”,但如果不用物理方式接觸公司的產品或者不在離產品比較近的范圍內,他們無法破解。另外,對方聲稱研究出來的攻擊方式都是對單一設備有效,不具備可復制性。
馬憲彬稱,“所以我們認為購買產品的用戶不必為這個事過慮,至少我們現在掌握的情況是不會影響到普通用戶的。”
科沃斯還表示,公司一直積極優化產品安全保護措施。馬憲彬表示,這種保護措施的加強,不是針對某個單獨的案例或者針對某個單獨的黑客或組織,是為了讓公司的安全措施更難讓攻擊者發現規律,從而減少不必要的風險。
目前,科沃斯使用的手段包括各種證書驗證、安全策略、網絡劫持的應對措施,以及遠程代碼的執行漏洞實時監控更新、三方設備之間連接的健全等,科沃斯一直都在不斷地換算法、換方式。
針對兩位研究員此次發布的“漏洞”,馬憲彬認為,這屬于技術討論層面。在某一個特定時間,對方發現了一個可以入侵設備的途徑。在態度上,公司很歡迎這種限制在技術討論范圍內的問題。
同時,科沃斯建議用戶在出售掃地機產品時重置設備,刪除本地數據,以防止個人信息泄露;但數據在云端的留存是應政策要求,云端信息會匿名保留且其他人無法查看。
消費者在購買二手產品時如何判斷該設備是否被黑客入侵過?科沃斯表示,首先黑客破解過的設備賣相都很難看,產品有被動過手腳的痕跡,比如塑料蓋板上多個孔等;其次只要把設備重置,此前的破解就失效了。
據南都消息,線上電商平臺的科沃斯旗艦店客服表示,新聞中提及的EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsAirbotANDY等多款產品在店鋪均已下架。
業績增長乏力,市值縮水8成以上
官網顯示,科沃斯成立于1998年,專注于服務機器人的獨立研發、設計與制造,向全球市場推出了包括家用掃地機器人DEEBOT、擦窗機器人WINBOT、全氣凈化機器人AIRBOT等產品。
2018年,科沃斯在上交所主板上市,成為“掃地機器人第一股”,市值曾飆到1500億元,被行業稱為“掃地茅”。
業績方面,科沃斯近幾年表現不佳。2018年-2022年,科沃斯營收分別為56.94億元、53.12億元、72.34億元、130.9億元、153.2億元,同期增速分別為25.11%、-6.70%、36.17%、80.90%、17.11%;凈利潤分別為4.85億元、1.21億元、6.41億元、20.10億元、16.98億,同期增速分別為29.13%、-75.12%、431.22%、213.51%、-15.51%。
2023年財報顯示,科沃斯全年營業收入為155億元,同比增長1.16%,歸母凈利潤為6.12億元,同比降低63.96%。可見,科沃斯營收已明顯滯漲,凈利潤在2021年創新高后,則連續下滑。
具體來看,2023年科沃斯品牌服務機器人銷售收入76.81億元,同比下滑1.49%,收入占比49.55%;添可品牌高端智能生活電器收入同比增長5.24%至72.71億元,占總營收的46.9%。科沃斯及添可兩大自有品牌業務收入合計達149.52億元,較2022年增長1.67%,占公司總收入的96.45%。
對于業績下滑,科沃斯稱,報告期內,國內消費市場整體復蘇乏力,行業競爭加劇,疊加公司掃地機器人國內市場中低價格段降本款產品布局有所缺失,且對新業務領域投入顯著增加,共同壓低公司整體利潤表現。
天天消費發現,高企的銷售費用“吞噬”著科沃斯利潤。2023年科沃斯銷售費用為52.97億元,較2022年的46.23億元增長了14.6%,增幅遠高于營收增幅,占總營收之比達34.17%。其中廣告營銷及平臺服務費約38億元,占銷售費用的比重為71.73%。與競對石頭科技相比,科沃斯的銷售費用占比較高。2023年,石頭科技的銷售費用為18.17億元,占營收之比僅21.00%。
此外,科沃斯的質量問題難言樂觀,產品高維修率也反應到了財務報表上。2023年科沃斯售后維修費用高達5.19億元,較2022年增長了139%,出現了跨越式增長。
相較過去幾年,科沃斯的維修費用雖然持續增長,但是整體保持可控。2018-2022年,科沃斯的修理費用分別為0.48億元、0.67億元、0.96億元、1.53億元、2.17億元,增速分別為39%、44%、60%、42%。
黑貓投訴平臺上,科沃斯相關投訴累計達2364條,問題涉及支架掉落、主板問題、聲音異常、無法充電、洗拖不干凈、保修期不維修等。
市場份額方面,科沃斯也面臨著不小的壓力。今年,掃地機器人市場的高端化趨勢進一步發展,行業龍頭品牌承壓明顯,以追覓、云鯨、小米等為代表的品牌迅猛增長。例如,追覓掃地機器人延續高增長態勢,在今年上半年市場份額達20.4%,提升至市場第二,零售額同比增長98.4%,遠超行業11.3%的平均增速。
目前在掃地機器人市場,科沃斯雖以30.5%的市場份額保住第一位,但同比去年下降10.3%,增速遠不及行業均值,對比友商的高增長率略顯疲軟。
從二級市場來看,科沃斯股價于2021年7月15日創下歷史高點250.41元/股,此后便一路下跌。截止今日收盤,科沃斯收于37.94元/股,較歷史高點下跌84.85%,總市值約216億元,相較最高點時蒸發了8成以上。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
