天天消费讯,“扫地机器人第一股”科沃斯陷入隐私安全质疑。近日,两名安全研究人员丹尼斯吉斯(DennisGiese)和布莱恩(Braelynn)在DefCon安全大会发布了科沃斯旗下产品安全漏洞,称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。
被曝安全漏洞,扫地机变“监视工具”
据了解,BlackHat黑帽大会和DefCon黑客大会被誉为黑客的“世界杯”和“奥斯卡”,于上周末在美国拉斯维加斯举行,旨在分享安全社区的最新研究、黑客技术和知识。研究人员表示他们分析了科沃斯的10多款热销设备,覆盖扫地机器人、割草机器人和空气净化机器人。
上述研究人员表示,科沃斯产品的主要问题在于存在一个漏洞,任何人只要使用手机,就能通过蓝牙从450英尺(约130米)远的地方连接并控制科沃斯机器人。
“你发送一个有效载荷,只需一秒钟,它就会重新连接到我们的机器。例如,它可以重新连接到互联网上的服务器。从那里,我们可以远程控制机器人。”丹尼斯吉斯说,“我们可以读取Wi-Fi凭证,我们可以读取所有(保存的房间)地图,访问摄像头、麦克风等等。”
上述研究人员表示,割草机器人始终开启蓝牙,而扫地机器人在开启时会启用蓝牙20分钟,并且每天自动重启一次,因此扫地机更难被黑客入侵。由于大多数新型科沃斯机器人都配备了至少一个摄像头和一个麦克风,一旦黑客控制了入侵的机器人,这些扫地机器人就可以变成“监视工具”。同时这些机器人没有硬件指示灯或任何其他指示灯来提醒附近的人它们的摄像头和麦克风已打开。
除了黑客攻击的风险之外,研究人员还发现了科沃斯设备的其他问题,包括:即使删除用户账户,机器人上存储的数据仍会保留在科沃斯的云服务器上,身份验证令牌也会保留在云端,这样一来,删除账户后,用户仍可以访问扫地机器人,并有可能监视购买二手机器人的人。
此外,割草机器人还具有防盗机制,如果用户拿起机器人,就会强制输入PIN码,但PIN码以明文形式存储在割草机内,因此黑客可以轻松找到并使用它。
研究人员表示以下设备均存在安全漏洞:EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsDeebotN9/T9、EcovacsDeebotN10/T10、EcovacsDeebotX1、EcovacsDeebotT20、EcovacsDeebotX2、EcovacsGoatG1、EcovacsSpybotAirbotZ1、EcovacsAirbotAVA、EcovacsAirbotANDY。
科沃斯否认“漏洞”,多款产品下架
8月13日下午,在科沃斯“针对数据安全相关疑问回应”电话会上,科沃斯大中华区公关总监马宪彬表示,DennisGiese和Braelynn两位安全研究人员一直以来对我国扫地机器人企业的产品安全很感兴趣,对国内其他品牌的产品也做过一些相对应的研究,“两位研究员是学无线跟嵌入式设备的”。
本次事件的背景是两位安全研究人员在美国DefCon安全大会上声称要发表演讲,演示如何攻击科沃斯的设备,但目前尚未公布其演讲视频。针对上述两位研究员做的攻击路径和技巧,科沃斯从去年开始到现在一直在做技术上的补强,有可能突破的路径已经被封死,所以到目前为止两位安全研究人员本来计划要发布的内容并未发布。
科沃斯方面认为,对方指出的产品问题并非“漏洞”,而是行业共同面对的问题,即在一些验证连接的过程中可能会被别有用心的人“钻空子”,但如果不用物理方式接触公司的产品或者不在离产品比较近的范围内,他们无法破解。另外,对方声称研究出来的攻击方式都是对单一设备有效,不具备可复制性。
马宪彬称,“所以我们认为购买产品的用户不必为这个事过虑,至少我们现在掌握的情况是不会影响到普通用户的。”
科沃斯还表示,公司一直积极优化产品安全保护措施。马宪彬表示,这种保护措施的加强,不是针对某个单独的案例或者针对某个单独的黑客或组织,是为了让公司的安全措施更难让攻击者发现规律,从而减少不必要的风险。
目前,科沃斯使用的手段包括各种证书验证、安全策略、网络劫持的应对措施,以及远程代码的执行漏洞实时监控更新、三方设备之间连接的健全等,科沃斯一直都在不断地换算法、换方式。
针对两位研究员此次发布的“漏洞”,马宪彬认为,这属于技术讨论层面。在某一个特定时间,对方发现了一个可以入侵设备的途径。在态度上,公司很欢迎这种限制在技术讨论范围内的问题。
同时,科沃斯建议用户在出售扫地机产品时重置设备,删除本地数据,以防止个人信息泄露;但数据在云端的留存是应政策要求,云端信息会匿名保留且其他人无法查看。
消费者在购买二手产品时如何判断该设备是否被黑客入侵过?科沃斯表示,首先黑客破解过的设备卖相都很难看,产品有被动过手脚的痕迹,比如塑料盖板上多个孔等;其次只要把设备重置,此前的破解就失效了。
据南都消息,线上电商平台的科沃斯旗舰店客服表示,新闻中提及的EcovacsDeebot900系列、EcovacsDeebotN8/T8、EcovacsAirbotANDY等多款产品在店铺均已下架。
业绩增长乏力,市值缩水8成以上
官网显示,科沃斯成立于1998年,专注于服务机器人的独立研发、设计与制造,向全球市场推出了包括家用扫地机器人DEEBOT、擦窗机器人WINBOT、全气净化机器人AIRBOT等产品。
2018年,科沃斯在上交所主板上市,成为“扫地机器人第一股”,市值曾飙到1500亿元,被行业称为“扫地茅”。
业绩方面,科沃斯近几年表现不佳。2018年-2022年,科沃斯营收分别为56.94亿元、53.12亿元、72.34亿元、130.9亿元、153.2亿元,同期增速分别为25.11%、-6.70%、36.17%、80.90%、17.11%;净利润分别为4.85亿元、1.21亿元、6.41亿元、20.10亿元、16.98亿,同期增速分别为29.13%、-75.12%、431.22%、213.51%、-15.51%。
2023年财报显示,科沃斯全年营业收入为155亿元,同比增长1.16%,归母净利润为6.12亿元,同比降低63.96%。可见,科沃斯营收已明显滞涨,净利润在2021年创新高后,则连续下滑。
具体来看,2023年科沃斯品牌服务机器人销售收入76.81亿元,同比下滑1.49%,收入占比49.55%;添可品牌高端智能生活电器收入同比增长5.24%至72.71亿元,占总营收的46.9%。科沃斯及添可两大自有品牌业务收入合计达149.52亿元,较2022年增长1.67%,占公司总收入的96.45%。
对于业绩下滑,科沃斯称,报告期内,国内消费市场整体复苏乏力,行业竞争加剧,叠加公司扫地机器人国内市场中低价格段降本款产品布局有所缺失,且对新业务领域投入显著增加,共同压低公司整体利润表现。
天天消费发现,高企的销售费用“吞噬”着科沃斯利润。2023年科沃斯销售费用为52.97亿元,较2022年的46.23亿元增长了14.6%,增幅远高于营收增幅,占总营收之比达34.17%。其中广告营销及平台服务费约38亿元,占销售费用的比重为71.73%。与竞对石头科技相比,科沃斯的销售费用占比较高。2023年,石头科技的销售费用为18.17亿元,占营收之比仅21.00%。
此外,科沃斯的质量问题难言乐观,产品高维修率也反应到了财务报表上。2023年科沃斯售后维修费用高达5.19亿元,较2022年增长了139%,出现了跨越式增长。
相较过去几年,科沃斯的维修费用虽然持续增长,但是整体保持可控。2018-2022年,科沃斯的修理费用分别为0.48亿元、0.67亿元、0.96亿元、1.53亿元、2.17亿元,增速分别为39%、44%、60%、42%。
黑猫投诉平台上,科沃斯相关投诉累计达2364条,问题涉及支架掉落、主板问题、声音异常、无法充电、洗拖不干净、保修期不维修等。
市场份额方面,科沃斯也面临着不小的压力。今年,扫地机器人市场的高端化趋势进一步发展,行业龙头品牌承压明显,以追觅、云鲸、小米等为代表的品牌迅猛增长。例如,追觅扫地机器人延续高增长态势,在今年上半年市场份额达20.4%,提升至市场第二,零售额同比增长98.4%,远超行业11.3%的平均增速。
目前在扫地机器人市场,科沃斯虽以30.5%的市场份额保住第一位,但同比去年下降10.3%,增速远不及行业均值,对比友商的高增长率略显疲软。
从二级市场来看,科沃斯股价于2021年7月15日创下历史高点250.41元/股,此后便一路下跌。截止今日收盘,科沃斯收于37.94元/股,较历史高点下跌84.85%,总市值约216亿元,相较最高点时蒸发了8成以上。
本文作者可以追加内容哦 !
