如今,部分掃地機器人等智能家居設備上配備了攝像頭,提供了更好的用戶體驗,也讓用戶的數據安全暴露在更多的風險之下。
經過多年的發展,掃地機器人的功能已經越發完善,如今,配合著基站的掃拖一體機器人大多都能夠實現自動集塵、洗拖布、補水、自清潔、抑菌、烘干、上下水等功能,進一步解放了用戶的雙手,也讓地面清潔變得更加方便和智能,成為了很多用戶的必需品。
而對于掃地機器人來說,導航的功能是否強大,直接決定了其對室內完整清潔的最終效果。其中,視覺導航技術讓掃地機器人在前進的清潔過程中,不斷拍攝周邊環境、實時定位、識別已清掃和未清掃的區域、創建精確的地圖,最終實現了更智能的清掃效果,其也成為很多掃地機器人產品的必備技術。
而最近幾天,《麻省理工科技評論》在一篇長文調查中,卻曝光了國外某品牌的掃地機器人自帶攝像頭拍攝用戶的事件,甚至包括用戶在家上廁所的動態也被拿去給人工智能模型當做訓練數據,還被發到了網絡上,這也讓用戶對于家里的智能設備再次產生了擔憂。
攝像頭讓掃地機器人不那么“智障”
根據國外媒體的爆料,類似下方的圖片是由iRobot公司開發的Roomba J7系列掃地機器人拍攝,之后這些數據則會被發給人工智能數據標注公司Scale AI進行處理。同時,下圖中的人臉信息其實是清晰可見的,馬賽克部分是由《麻省理工科技評論》為保護隱私而特地手動添加的。
在最早期,掃地機器人一般會使用碰撞窮舉式的清掃邏輯,如在撞到障礙后就改變方向繼續前進,也沒有太多的路線規劃。而這種模式帶來的缺點顯而易見:一方面,掃地機器人運行時的噪音與障礙物的撞擊聲疊加,對用戶來說難以忍受;另一方面,這種運行方式使得掃地機器人很容易損壞;同時,碰撞窮舉式的邏輯容易讓掃地機器人出現被困在某些家具下無法逃脫的情況。所以,為了實現更好的導航,后來推出的掃地機器人在傳感器上做了進一步改良,各類傳感器也是層出不窮,讓掃地機器人逐漸脫離了“智障”的稱號。
目前,比較常用的導航方式包括激光導航、雷達導航、紅外線導航,以及基于視覺的導航等。其中,激光導航主要是利用掃地機器人上搭載的激光測距儀來測量設備和周圍物體之間的距離,當激光觸碰到障礙物時,內置的傳感器能夠依照像素序號進行房間地圖構建,并實時建圖定位清掃。一些功能更全面的掃地機器人,則在激光導航的基礎上配備了視覺導航,通過內置攝像頭來觀測房間布局,讓掃地機器人的建圖更穩、規劃能力更好。
為了讓視覺導航真正實現更好的效果,就需要在更多高質量、多樣化的數據集上對AI模型進行訓練。對于Roomba J7系列掃地機器人通過視覺導航拍攝的圖片來說,這些畫面展示了來自房間、人、寵物、家具、裝飾等物體,且都被矩形框框選出來,并附有對應的標注。這些用戶隱私信息理論上應處于非常嚴格的存儲和訪問控制之下,雖然公司本身沒有泄露數據,但卻在將數據交給第三方進行數據標注的環節出現了紕漏,被負責標注的員工了網上。
iRobot公司表示,它們已經與Scale AI分享了超過200萬張用于標注的圖片,并與其他數據標注平臺分享了數量不詳的圖片,其中95%以上的圖片來自于iRobot的員工家庭或第三方數據供應商招募的志愿者。根據iRobot的一份聲明,這些用戶同意讓iRobot在設備運行時收集數據,并可由此換取獎勵。雖然在這份聲明中,iRobot還表示所有這些圖像都來自 “經過硬件和軟件修改的特殊開發機器人”,而且這些機器人現在和將來都不會出現在公司的消費者產品上,但這種說辭卻無法讓用戶完全信服。
要保護的不只有視覺信息
雖然掃地機器人使用的視覺導航技術讓家居地面清潔規劃更加智能全面,但有些問題卻不容忽視:掃地機器人構建的地圖保存在哪里,是否只有用戶自己才能看到、掃地機器人的攝像頭都能看到些什么、是否還具有除了地面清潔工作外的隱藏視角,這一系列的疑問都直指用戶隱私安全。
如今,在信息流通飛快的互聯網和物聯網時代,隱私信息的個人屬性被大幅度削弱。在虛擬世界里,個人隱私或信息被泄露,可以說已經見怪不怪了。而在我們的實際生活中,具備聯網功能的智能家居設備或許也在無時無刻的“監視”著用戶的生活,使用戶的個人隱私暴露無遺。
再以掃地機器人為例,哪怕是基于非視覺的導航技術制作的地圖,其中也包含著用戶家中的房屋面積、結構、家具擺放位置等信息,同時,這些地圖通常存儲在云平臺中,也會構成潛在的隱私漏洞,使廣告商可以借此判斷房屋大小以及生活方式、人員情況等信息,甚至由此推斷出收入水平等相關信息。如果這些數據沒有得到有效地加密保存,不僅會給不法分子的活動提供便利,也會給用戶的家庭安全帶來威脅。
除了視覺信息之外,聲音信息也是需要重點保護的個人隱私。我們都知道,聲波會導致物體振動,這些振動又會導致從物體反射回來的激光束發生微弱的變化,而這些激光信號的變化很可能被“有心人”用來分析出導致這種變化的聲波信號,從而進行竊聽。此前,馬里蘭大學計算機科學系的團隊就曾創造出一種名為“LidarPhone”的監聽系統,并通過攻擊一款小米掃地機器人進行了測試。研究人員表示,這種攻擊可以竊聽私人對話,從而泄露信用卡或可能用于威脅勒索的信息。不過,LidarPhone在攻擊過程中也遇到了各種各樣的問題,如與掃地機器人之間的距離和各種噪音都會影響整體效果,背景聲中的噪聲水平和光照條件也會影響整體攻擊效果。
此外,智能家居設備面臨的主要安全漏洞還包括其他方面。例如,抓包軟件可以繞過認證,獲取服務端或客戶端的大量信息;其次,攻擊者可以通過抓包加暴力破解弱密碼,利用漏洞組合獲取用戶的賬號和密碼,登錄后獲得設備的攝像頭、麥克風等權限,進而自由控制;同時,部分應用程序傳參驗證過濾不嚴,通過非法授權和操作,導致攻擊者構造的數據庫代碼被后臺執行,結合其他漏洞實現遠程開電子門鎖等功能。此外,這些設備還存在中間人攻擊、存儲型XSS、文件上傳等漏洞,不少產品屬于相同設備代工生產,同質化情況較為嚴重,這些智能家居設備在底層技術、通用硬件、數據后臺等方面有高度的類同性。有專家組判斷,市場上相當比例的智能家居產品信息安全水平較低,用戶隱私存在著較大風險。
近年來,隨著智能家居設備品類的增多,其與云端、其它智能設備、消費者之間都在頻繁交互,采集并儲存了大量消費者信息,使得信息泄露的風險提升。今年2月,上海市消保委聯合第三方專業機構開展了智能家居設備安全性能測試,從披露的測試報告結果來看,6款搜索排名靠前的智能門鈴和門禁產品依然存在著中高危的風險。
不僅如此,類似洗碗機、攝像頭、路由器等設備,少有人關心其安全性,但卻更有可能被黑客所利用。這些智能家居設備可能本身沒有存儲隱私信息,但因為連接著家里的WiFi,黑客就可以侵入。換言之,當智能家居連上網絡,意味著設備也更容易遭到攻擊。
寫在最后
對于普通消費者來說,想要更好的保護自己的隱私數據,最好盡量選擇大品牌的智能家居產品,并在日常使用過程中提高數字密碼安全系數、及時更新系統、升級固件;對于廠商來說,也要不斷提升終端設備安全性能等級,加強云端數據安全管理,把重心從營銷轉移到技術研發上;對于有關部門來說,要盡快開展智能家居產品安全性能調研,針對技術、系統漏洞帶來的危害和風險出臺相關的安全標準和規范。
今年,國家頒布了《數據安全法》、《個人信息保護法》等法律,對個人信息保護、數據安全等問題提出了一系列更高的要求。未來,我們更應以此為基石,不斷推進技術創新,建立起自主可控的數據安全生態。
參考資料:
1.《更精準的導航 更全面的“泄密”? 談談掃地機器人的用戶隱私保護》,天極網
2.《離譜!女生在自家廁所遭偷拍,照片全網泄露,罪魁禍首竟是萌萌的TA》,新智元
3.《智能家居或泄露個人信息!上海市消保委:建議提高密碼安全系數》,東方網
