如今,部分扫地机器人等智能家居设备上配备了摄像头,提供了更好的用户体验,也让用户的数据安全暴露在更多的风险之下。
经过多年的发展,扫地机器人的功能已经越发完善,如今,配合着基站的扫拖一体机器人大多都能够实现自动集尘、洗拖布、补水、自清洁、抑菌、烘干、上下水等功能,进一步解放了用户的双手,也让地面清洁变得更加方便和智能,成为了很多用户的必需品。
而对于扫地机器人来说,导航的功能是否强大,直接决定了其对室内完整清洁的最终效果。其中,视觉导航技术让扫地机器人在前进的清洁过程中,不断拍摄周边环境、实时定位、识别已清扫和未清扫的区域、创建精确的地图,最终实现了更智能的清扫效果,其也成为很多扫地机器人产品的必备技术。
而最近几天,《麻省理工科技评论》在一篇长文调查中,却曝光了国外某品牌的扫地机器人自带摄像头拍摄用户的事件,甚至包括用户在家上厕所的动态也被拿去给人工智能模型当做训练数据,还被发到了网络上,这也让用户对于家里的智能设备再次产生了担忧。
摄像头让扫地机器人不那么“智障”
根据国外媒体的爆料,类似下方的图片是由iRobot公司开发的Roomba J7系列扫地机器人拍摄,之后这些数据则会被发给人工智能数据标注公司Scale AI进行处理。同时,下图中的人脸信息其实是清晰可见的,马赛克部分是由《麻省理工科技评论》为保护隐私而特地手动添加的。
在最早期,扫地机器人一般会使用碰撞穷举式的清扫逻辑,如在撞到障碍后就改变方向继续前进,也没有太多的路线规划。而这种模式带来的缺点显而易见:一方面,扫地机器人运行时的噪音与障碍物的撞击声叠加,对用户来说难以忍受;另一方面,这种运行方式使得扫地机器人很容易损坏;同时,碰撞穷举式的逻辑容易让扫地机器人出现被困在某些家具下无法逃脱的情况。所以,为了实现更好的导航,后来推出的扫地机器人在传感器上做了进一步改良,各类传感器也是层出不穷,让扫地机器人逐渐脱离了“智障”的称号。
目前,比较常用的导航方式包括激光导航、雷达导航、红外线导航,以及基于视觉的导航等。其中,激光导航主要是利用扫地机器人上搭载的激光测距仪来测量设备和周围物体之间的距离,当激光触碰到障碍物时,内置的传感器能够依照像素序号进行房间地图构建,并实时建图定位清扫。一些功能更全面的扫地机器人,则在激光导航的基础上配备了视觉导航,通过内置摄像头来观测房间布局,让扫地机器人的建图更稳、规划能力更好。
为了让视觉导航真正实现更好的效果,就需要在更多高质量、多样化的数据集上对AI模型进行训练。对于Roomba J7系列扫地机器人通过视觉导航拍摄的图片来说,这些画面展示了来自房间、人、宠物、家具、装饰等物体,且都被矩形框框选出来,并附有对应的标注。这些用户隐私信息理论上应处于非常严格的存储和访问控制之下,虽然公司本身没有泄露数据,但却在将数据交给第三方进行数据标注的环节出现了纰漏,被负责标注的员工了网上。
iRobot公司表示,它们已经与Scale AI分享了超过200万张用于标注的图片,并与其他数据标注平台分享了数量不详的图片,其中95%以上的图片来自于iRobot的员工家庭或第三方数据供应商招募的志愿者。根据iRobot的一份声明,这些用户同意让iRobot在设备运行时收集数据,并可由此换取奖励。虽然在这份声明中,iRobot还表示所有这些图像都来自 “经过硬件和软件修改的特殊开发机器人”,而且这些机器人现在和将来都不会出现在公司的消费者产品上,但这种说辞却无法让用户完全信服。
要保护的不只有视觉信息
虽然扫地机器人使用的视觉导航技术让家居地面清洁规划更加智能全面,但有些问题却不容忽视:扫地机器人构建的地图保存在哪里,是否只有用户自己才能看到、扫地机器人的摄像头都能看到些什么、是否还具有除了地面清洁工作外的隐藏视角,这一系列的疑问都直指用户隐私安全。
如今,在信息流通飞快的互联网和物联网时代,隐私信息的个人属性被大幅度削弱。在虚拟世界里,个人隐私或信息被泄露,可以说已经见怪不怪了。而在我们的实际生活中,具备联网功能的智能家居设备或许也在无时无刻的“监视”着用户的生活,使用户的个人隐私暴露无遗。
再以扫地机器人为例,哪怕是基于非视觉的导航技术制作的地图,其中也包含着用户家中的房屋面积、结构、家具摆放位置等信息,同时,这些地图通常存储在云平台中,也会构成潜在的隐私漏洞,使广告商可以借此判断房屋大小以及生活方式、人员情况等信息,甚至由此推断出收入水平等相关信息。如果这些数据没有得到有效地加密保存,不仅会给不法分子的活动提供便利,也会给用户的家庭安全带来威胁。
除了视觉信息之外,声音信息也是需要重点保护的个人隐私。我们都知道,声波会导致物体振动,这些振动又会导致从物体反射回来的激光束发生微弱的变化,而这些激光信号的变化很可能被“有心人”用来分析出导致这种变化的声波信号,从而进行窃听。此前,马里兰大学计算机科学系的团队就曾创造出一种名为“LidarPhone”的监听系统,并通过攻击一款小米扫地机器人进行了测试。研究人员表示,这种攻击可以窃听私人对话,从而泄露信用卡或可能用于威胁勒索的信息。不过,LidarPhone在攻击过程中也遇到了各种各样的问题,如与扫地机器人之间的距离和各种噪音都会影响整体效果,背景声中的噪声水平和光照条件也会影响整体攻击效果。
此外,智能家居设备面临的主要安全漏洞还包括其他方面。例如,抓包软件可以绕过认证,获取服务端或客户端的大量信息;其次,攻击者可以通过抓包加暴力破解弱密码,利用漏洞组合获取用户的账号和密码,登录后获得设备的摄像头、麦克风等权限,进而自由控制;同时,部分应用程序传参验证过滤不严,通过非法授权和操作,导致攻击者构造的数据库代码被后台执行,结合其他漏洞实现远程开电子门锁等功能。此外,这些设备还存在中间人攻击、存储型XSS、文件上传等漏洞,不少产品属于相同设备代工生产,同质化情况较为严重,这些智能家居设备在底层技术、通用硬件、数据后台等方面有高度的类同性。有专家组判断,市场上相当比例的智能家居产品信息安全水平较低,用户隐私存在着较大风险。
近年来,随着智能家居设备品类的增多,其与云端、其它智能设备、消费者之间都在频繁交互,采集并储存了大量消费者信息,使得信息泄露的风险提升。今年2月,上海市消保委联合第三方专业机构开展了智能家居设备安全性能测试,从披露的测试报告结果来看,6款搜索排名靠前的智能门铃和门禁产品依然存在着中高危的风险。
不仅如此,类似洗碗机、摄像头、路由器等设备,少有人关心其安全性,但却更有可能被黑客所利用。这些智能家居设备可能本身没有存储隐私信息,但因为连接着家里的WiFi,黑客就可以侵入。换言之,当智能家居连上网络,意味着设备也更容易遭到攻击。
写在最后
对于普通消费者来说,想要更好的保护自己的隐私数据,最好尽量选择大品牌的智能家居产品,并在日常使用过程中提高数字密码安全系数、及时更新系统、升级固件;对于厂商来说,也要不断提升终端设备安全性能等级,加强云端数据安全管理,把重心从营销转移到技术研发上;对于有关部门来说,要尽快开展智能家居产品安全性能调研,针对技术、系统漏洞带来的危害和风险出台相关的安全标准和规范。
今年,国家颁布了《数据安全法》、《个人信息保护法》等法律,对个人信息保护、数据安全等问题提出了一系列更高的要求。未来,我们更应以此为基石,不断推进技术创新,建立起自主可控的数据安全生态。
参考资料:
1.《更精准的导航 更全面的“泄密”? 谈谈扫地机器人的用户隐私保护》,天极网
2.《离谱!女生在自家厕所遭偷拍,照片全网泄露,罪魁祸首竟是萌萌的TA》,新智元
3.《智能家居或泄露个人信息!上海市消保委:建议提高密码安全系数》,东方网