3·15|解放双手?还是安全隐患?——扫地机器人专题安全测评

2023-03-16

扫地机器人,作为新时代是智能家电的一种,能够替代人工自动完成地面清洁工作。目前,数十万家庭已经拥有了这位“新成员”,根据AVC监测数据,仅2022年5月30日至6月19日,中国扫地机器人线上市场销量就达57.57万台。随着技术水平不断发展、产品能力不断进步,扫地机器人智能化程度不断提升,视频对话、语音控制等诸多功能也成为各大品牌机器人旗舰机型“标配”。

 

与此同时,一个能四处移动、采集音视频数据的智能扫地机器人也为消费者带来了新的问题,它究竟是解放了双手、还是为家庭带来了新的安全隐患,中国软件评测中心带着消费者热切关注的网络与数据安全问题对当下热销产品进行了抽样测评。

我与家人说话,扫地机器人会偷听吗?

未发现非授权的数据传输。在测评过程中,能够进行语音控制或音视频通话的扫地机器人,会通过唤醒词或APP指令唤醒设备,进行数据传输,但机器在未被唤醒时,未发现语音数据传输。未发现越权漏洞。APP对绑定的扫地机器人具有较为严格的身份鉴别机制。

安全专家通过模拟设备日常活动,动态采集网络数据,模拟中间人攻击,如替换不同设备编号,调用实时监控、语音通话等功能,通过审计其内容,发现产品身份鉴别机制较为严谨,数据进行了有效加密。同时,本次测评中也未发现用户敏感信息、音视频数据明文传输的问题,能够避免中间人窃听。

中国评测提示您:应注意主机设备的放置场所,尽量避免摄像头朝向日常活动区域。在唤醒设备进行音视频交互前,请确认当前场景是否合适。选择扫地机器人时,尽量选择有权威机构安全检测报告的产品。

 

扫地机器人APP是否安全呢?

较为安全。在测评过程中,APP未发现较为严重的安全问题,但APP登录身份验证机制较为简单,存在一定信息泄漏风险。

安全专家通过对.apk文件进行反编译,采用自动化扫描与人工渗透相结合的方式,对包括组件安全检测、Manifest文件检测、Webview安全检测、网络通信安全检测、弱加密风险检测、数据安全检测、系统漏洞检测、so文件风险检测、隐私权限检测、隐私行为检测等十余项测试项进行了测试。经过实测发现,多款APP存在弱口令,且登录新设备时不会对旧设备做出提示(或提示信息可同步删除),同时也不会登出旧设备,登录新设备后可设置邮箱、手机号,也可对实景图片等进行查看。

中国评测提示您:APP账户密码请勿与其他系统相同或相似,设置至少8位,混合3种字符的密码,同时定期进行更换(建议不超过90天)。不在非可信设备上登录APP,临时登录后应及时登出。不将密码透露给其他人员,设置密码应尽量本人操作。不在设备中安装不可信APP或添加不明渠道的信任证书。

 

扫地机器人是否有违规收集个人敏感信息?

暂未发现。在测评过程中,几款产品都拥有完整的个人信息保护政策,收集个人信息前能作出明确提示以取得授权,并告知用户保存期限等信息。用户在使用中可随时撤销授权,云端数据可以随时删除,账户注销方式简单无阻碍。

安全专家对多款产品的个人信息收集使用规则进行了合规性检测,包含收集个人信息的合法性、收集个人信息的最小必要、多项业务功能的自主选择、收集个人信息时的授权同意、个人信息保护政策、征得授权同意的例外共计6大项,专家对隐私政策进行了详细解读,认为普通用户能够对产品收集、存储和使用用户个人敏感信息的情况完全了解,并拥有自主控制权。

中国评测提示您:在授权产品收集或使用信息时,应详细阅读个人信息保护政策,确定收集信息范围及频率、使用场景、存储地点及时间等信息,如无需产品继续提供服务时,应及时撤销授权,守护个人隐私数据。

智能扫地机器人相关技术快速发展,智能化程度显著提升,产品使用体验越来越好,能够替代人工维持地面清洁,未来家庭渗透率也将稳步提升。

中国软件评测中心从企业和用户的角度出发为扫地机器人产业安全建设提出建议

  1. 守住安全底线,稳步发展

    加强产品漏洞的持续监测,定期开展渗透测试和安全评估,对于发现的问题及时响应,及时处理,守住安全底线,杜绝安全事件,提高用户使用安全感。

  2. 遵守法律法规,依法建设

遵守《网络安全法》《数据安全法》《密码法》《个人信息保护法》等法律法规,对信息系统及时备案,做到合法合规建设;落实数据安全工作,做到非必要信息不收集、非授权数据不使用、数据分类分级管理、数据加密安全有效;不触及个人隐私数据违规红线,保障用户权益。

 

中国软件评测中心将持续关注智能家居行业安全问题,与企业共同促进产业安全发展。文章转载请注明出处,如有其他问题请联系zuoran@cstc.org.cn。

 

 

中国软件评测中心

2023年3月15日  

 

 

3349381607

关闭