黑客入侵掃地機械人
掃地機械人安全隱患一直困擾用家,數年前已出現掃地機械人拍攝用戶浴室照並在社交媒體流傳。前周世界各地新聞又再廣泛報道,全球最大的掃地機械人生產商之一中國大陸科沃斯(Ecovacs) 的掃地機械人出現嚴重安全事故,黑客可輕易入侵裝置。美國的報道指黑客入侵後利用揚聲器播出粗言穢語,刻意追撞用戶及寵物。澳洲則報道黑客利用藍牙連線的弱點,在百米外入侵並控制所有觸感器,拿取Wi-Fi密碼,取得網絡存取權,更可隨時進行攝錄。似乎大部份事件黑客的行為旨在滋擾,令受害者明顯意識到掃地機械人出現異常,並採取應對行動。更恐怖的反是沉默監控者,一切看似正常,卻在背後不斷監控,竊取個人私隱及資料,即使受害者有所損失,可能仍未意識到掃地吸塵機是始作俑者。暫未知有多少人受影響,不過科沃斯網頁稱其產品服務超過5千萬個家庭用戶,可見潛在影響巨大。事實上去年已有報告對該牌子掃地機械人作出資訊安全警告,廠商未見跟進。在發生事故後,廠商首先指事主遭到「釣魚」,帳戶被盜,並非系統性的問題,但最後技術人員以各種證據作出挑戰,最終廠方不得不承認安全漏洞,並稱將對其裝置進行安全升級云云。
安全事故揭陰暗面
事件更帶出更深層次的問題。技術人員發現嚴重安全設計漏洞,源於PIN只在手機軟件核實,並不在伺服器及裝置內核實,黑客可以繞過這個程序,直接通知裝置及伺服器已通過核實,繼而取得裝置控制權。奇就奇在如此低級安全錯誤,仍取得由德國Tüv Rheinland發出的安全認證。有資安專家去信認證公司查詢認證範圍及技術標準,結果發現檢查未能提供詳細資料,且各種漏洞並不在測試範圍。原來這種標準認證只是一個指引,製造商如何執行及合規,責任在於廠方。事件令人懷疑這些認證並無實質,而是利用消費者資訊缺口而賺取信任。另一方面,絕大部份情況廠商強迫用戶安裝軟件以控制及更新裝置,這個軟件又是否安全?筆者利用Exodus Privacy網站檢查Ecovacs Home軟件,發現程式有四個追蹤模塊,其中一個正正就是中國大陸紫光JPush。這個模塊先前版本被曝光內存各種漏洞及侵犯私隱,用戶可查看下列連結。軟件涉五十多項權限,當中涉及非常敏感的權限,包括取得精準位置,控制藍牙、鏡頭、麥克風、下載時不用通知、讀取正在執行的軟件、讀寫外部儲存及更改系統設定等。為了一個掃地機械人而安裝,風險與得益是否合於比例?事故牽出的種種魔鬼細節,讓那些不分配足夠資源作資安的生產者有機可乘。
用家必須多做功課
何止掃地機械人,各種智能裝置,例如網絡鏡頭、家居智能系統、智能電視、智能門禁等任何擁有連線、影像及音效功能的設備,皆擁有上述風險。如何應對?因應黑客事故,媒體湧現建議,大多圍繞頻密更改密碼、設定雙重認證、更新韌體、留意裝置表現等,上述事件已表明作用不大。筆者則建議如下。第一步是提升安全意識。當筆者向朋友分享事件,有些人回應是我不是使用這個牌子,自我感覺良好。只有認同風險存才會行動應對。不要以為事不關己,保護個人家人私隱用户有責。其次,使用同類產品時考慮清楚是否真的需要如此多功能,以掃地機械人為例,其實碰觸感應已足夠應付大部份情景,越多周邊例如鏡頭收音WiFi藍芽等風險越高,宜多作品牌及型號比較。其三,安全認證不是萬能,廠商亦不可能每個更新獲取認證。了解一下認證的背後代表甚麼,同時查找獨立第三方針對資訊安全的評估報告。進一步查查這個第三方的背景,是否真正獨立可信,還是受企業或政權帶動。其四,查詢是否能不用安裝控制軟件運作。若必需安裝,請到例如Exodus Privacy網站查看軟件評估追蹤模塊及權限,購買產品時同時考慮是否可接受。最後,查詢裝置能否不用上網直接運作,若裝置需使用WiFi,請利用路由器指定網絡,與家用網絡分開,並將VPN設在路由內,強制裝置經VPN傳輸,避免任何第三方偵測到裝置存在或截取通訊。
越來越多裝置打著智能的旗號,將各種周邊、感應器、連線甚至AI集於一身,但很多都並不一定需要,且邊際效用低,但却帶來不合比例的資訊風險。用家宜做足功課,控制風險,否則等同拿了一隻特洛伊木馬放在家中。◇
注: https://digitalwatchdog.org/jiguangs-sdk-covertly-collects-user-personal-information-with-no-clear-opt-out/
------------------
🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand