Nachricht

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Kürzlich sagten zwei Sicherheitsforscher auf der Def Con-Sicherheitskonferenz, dass sie Sicherheitsprobleme bei den Kehrroboterprodukten von Ecovacs entdeckt hätten. Nach der Verbindung mit dem Ecovacs-Roboter über Bluetooth können Hacker die integrierte WiFi-Konnektivität des Produkts nutzen, die eine Fernsteuerung und den Zugriff auf den Raum ermöglicht Karten, Kameras, Mikrofone und andere Funktionen und Informationen innerhalb seines Betriebssystems.

Als Reaktion auf die oben genannten Probleme sagte Ecovacs in einem Interview mit Reportern von Southern Financial All-Media, dass Datensicherheit und Benutzerschutz eines der Themen sind, denen Ecovacs die größte Bedeutung beimisst. Das Ecovacs Robot Safety Committee hat Themen wie Netzwerkverbindung und diskutiert Nach Durchführung interner Untersuchungen und Bewertungen kommt man zu dem Schluss, dass die Wahrscheinlichkeit, dass diese Sicherheitsrisiken in der täglichen Nutzungsumgebung des Benutzers auftreten, äußerst gering ist. Daher sind professionelle Hacking-Tools und ein enger Kontakt mit der Maschine erforderlich brauchen Sie sich darüber keine Sorgen zu machen. Dennoch wird Ecovacs seine Produkte proaktiv auf der Grundlage von Forschungs- und Überprüfungsergebnissen optimieren.

Die All-Media-Reporter von Southern Finance stellten fest, dass sich das Internet der Dinge und Smart-Home-Geräte zwar rasant weiterentwickeln, aber neben fegenden Robotern auch neue Smart-Home-Geräte wie intelligente Türschlösser und Heimkameras in den letzten Jahren mit zahlreichen Datenschutz- und Sicherheitsproblemen konfrontiert waren Es fehlen jedoch noch entsprechende branchenspezifische Unterteilungsvorschriften und -normen.

Wie die Informationssicherheit in Familienszenarien geschützt werden kann, bei denen es um viele personenbezogene Daten geht, ist in der Smart-Home-Branche nach wie vor ein dringendes Problem, das gelöst werden muss.

Risiko von Fernrissen

Laut den beiden Sicherheitsforschern Dennis Giese und Braelynn liegt das Sicherheitsproblem von Ecovacs hauptsächlich in der Bluetooth-Verbindung. Hacker können das Gerät innerhalb einer Reichweite von 450 Fuß (ca. 130 Metern) kontrollieren und kontrollieren , Sie können über die integrierte WiFi-Netzwerkfunktion des Roboters eine Verbindung zum Server herstellen, um eine Fernsteuerung zu erreichen.

Derzeit bestehen die vorbeugenden Maßnahmen der Kehrroboterausrüstung darin, Bluetooth nach dem Einschalten 20 Minuten lang zu aktivieren und einmal am Tag automatisch neu zu starten. Allerdings ist das Bluetooth der Rasenmäher der Marke immer eingeschaltet, wenn die Kamera eingeschaltet ist eingeschaltet ist. Gleichzeitig spielt das Gerät alle fünf Minuten eine Audiodatei ab, um Benutzer daran zu erinnern, dass das Gerät eingeschaltet ist. Dennis Giese sagte jedoch, dass Hacker die Audiodatei löschen können, um die Verschleierung geknackter Geräte aufrechtzuerhalten.

In diesem Zusammenhang erklärte Ecovacs, dass es technische Mittel einsetzen werde, um die Anmeldung über ein zweites Konto einzuschränken, die sekundäre Überprüfung gegenseitiger Verbindungen zwischen Bluetooth-Geräten zu stärken und die Sicherheit von Bluetooth-Verbindungen durch das Hinzufügen physischer Vorgänge zum Auslösen von Bluetooth-Verbindungen zu erhöhen.

„Bluetooth-Sicherheit war schon immer ein häufiges Sicherheitsproblem.“ Wu Jianping, Leiter des Bangbang Security Laboratory, wies in einem Interview mit Reportern von Southern Financial All-Media darauf hin, dass der Bluetooth-Pairing-Schlüssel ein rein digitaler 4- oder 6-stelliger Schlüssel sei Passwort: In Situationen, in denen es nur 10.000 oder 1.000.000 Möglichkeiten gibt, können moderne Computer es in wenigen Sekunden erfolgreich entschlüsseln.

Zusätzlich zu Bluetooth-Schwachstellen entdeckten die beiden Forscher auch andere Sicherheitsprobleme bei Ecovacs-Produkten. Sie wiesen darauf hin, dass die zugehörigen Daten des Roboters auch dann noch auf dem Cloud-Server gespeichert werden, wenn das Benutzerkonto gelöscht wurde Das Token wird auch in der Cloud gespeichert, was dazu führen kann, dass der betreffende Benutzer nach dem Löschen des Kontos weiterhin auf das Gerät zugreifen kann, was die Sicherheit der Privatsphäre von Benutzern gefährdet, die gebrauchte Maschinen kaufen.

Wu Jianping wies darauf hin, dass Gesetze und Vorschriften wie das „Datensicherheitsgesetz der Volksrepublik China“ die Speicherdauer von Benutzerdaten durch Hersteller unter bestimmten Bedingungen festlegen. Wenn ein Benutzer sein Konto löscht, muss der Hersteller normalerweise nur die Daten vernichten die relevanten Daten innerhalb der entsprechenden Frist.

In der aktuellen Datenüberwachungspraxis prüfen die Regulierungsbehörden jedoch mit Ausnahme einiger Unternehmen, die im Datenexportgeschäft tätig sind, in den meisten Fällen nicht die Umsetzung der relevanten Datenvernichtung, was die Datenvernichtung vom Bewusstsein der Hersteller abhängig macht und somit die Datenvernichtung verstärkt Risiko eines Datenlecks nach einem Angriff auf den Cloud-Server.

Ein All-Media-Reporter von Southern Finance fand heraus, dass in der Datenschutzvereinbarung der von Ecovacs unterstützten APP festgelegt wurde, dass der Hersteller das APP-Konto nach der Kündigung des APP-Kontos durch den Benutzer „nur für den Zeitraum nutzen wird, der für den in dieser Richtlinie genannten Zweck erforderlich ist“. und die durch Gesetze und Vorschriften maximal zulässige Zeit. „Wenn Ihre personenbezogenen Daten aufbewahrt werden, werden wir sie rechtzeitig löschen oder anonymisieren, wenn sie diese Frist überschreiten.“

In diesem Zusammenhang sagte Covacs, dass es die Produktsoftware aktualisieren werde, um den Token-Ungültigmachungsmechanismus in Echtzeit wirksam werden zu lassen, die Schwierigkeit beim Erhalten des Tokens zu erhöhen und die Protokollinformationen nach dem Zurücksetzen des Geräts zu löschen, um die Datensicherheit zu gewährleisten. Darüber hinaus werden Benutzer daran erinnert, dass sie das Gerät zurücksetzen sollten, wenn sie es an eine andere Person weitergeben möchten, um einen Informationsverlust zu verhindern.

„Nach den diesmal vom Sicherheitspersonal gemeldeten Problemen zu urteilen, sind physische Bedingungen wie das Halten des Geräts innerhalb eines bestimmten Bereichs oder das Zerlegen des Geräts erforderlich, um ein Knacken zu erreichen. Normale Benutzer können dies vermeiden, indem sie die Maschineneinstellungen zurücksetzen, den Maschinenstatus rechtzeitig überprüfen usw. .“, sagte ein Praktiker der Smart-Home-Branche bei der Kommunikation mit Reportern.

In der Antwort von Ecovacs heißt es weiter, dass das Unternehmen die Gewohnheit von Sicherheitsexperten respektiere, Produktrisiken durch Recherche zu entdecken und proaktiv mit Unternehmen zu kommunizieren. Ecovacs Robotics ist davon überzeugt, dass Sicherheitsexperten, die mit Unternehmen durch offensive und defensive Übungen und die Veröffentlichung von Ergebnissen interagieren, zur Verbesserung der Produktsicherheit beitragen können.

Mangel an Industriestandards

Bei der Durchsicht der Smart Home-bezogenen Ereignisse der letzten Jahre ist es nicht ungewöhnlich, dass Datenschutzstreitigkeiten aufgrund von Sicherheitslücken auftreten, zusätzlich zu fegenden Robotern, Heimkameras, intelligenten Türschlössern und anderen mit dem Internet verbundenen Geräten mit eigenem Bild, Tonsensoren usw Speicherkapazitäten sind theoretisch vorhanden. Es besteht die Gefahr, aus der Ferne gehackt zu werden, was zum Verlust persönlicher Daten führt.

Hinter den häufigen Sicherheitsproblemen verschiedener Smart-Home-Geräte steckt einerseits die aktuelle Situation im Sicherheitsbau von Unternehmen, die weiter verbessert werden muss, andererseits aber auch der Mangel an regulatorischen Details in verwandten Bereichen.

Nehmen wir als Beispiel den Bereich der Kehrroboter: Die aktuelle allgemeine Sicherheitsnorm, auf die sich die Branche hauptsächlich bezieht, ist „Allgemeine Sicherheitsanforderungen für Haushalts- und Serviceroboter für ähnliche Zwecke“ (GB/T 41527-2022), diese Norm umfasst jedoch nur Schilder und Anweisungen , Stabilität und mechanische Sicherheitsprobleme auf physischer Ebene wie Gefahr, mechanische Festigkeit, Struktur usw., umfassen jedoch keine Sicherheitsprobleme im Zusammenhang mit dem Betriebssystem des Geräts selbst und den gesammelten persönlichen Daten des Benutzers.

Wu Jianping wies darauf hin, dass es in meinem Land derzeit zwar regulatorische Anforderungen in den Bereichen Netzwerksicherheit, Hardware-Design und -Herstellung usw. gibt, es jedoch an entsprechenden Unterteilungsstandards im Bereich intelligenter Produkte mangelt, die Software und Hardware kombinieren. Verschiedene Sicherheitsanforderungen und Schutzmaßnahmen wurden auf dieser Grundlage erweitert. Es gibt keine Möglichkeit, darüber zu sprechen.

Nehmen wir als Beispiel Chips, die derzeit häufig in inländischer intelligenter Hardware verwendet werden. Bei einigen Chips, die ausländische Chips verwenden, oder bei Designlösungen, die auf ausländischen Ideen basieren, haben inländische Hersteller die Produkte zwar verwendet, sie haben sich jedoch nicht vollständig daran gehalten Eine Reihe von Wartungssystemen und -prozessen, die dazu führen, dass die Schwachstelle des zugrunde liegenden Linux-Systems für längere Zeit nicht repariert werden kann.

„Zum Beispiel wird der von Oracle übernommene Java-Programmiersprachen-Softwaredienstleister kontrollieren, auf welcher Art von Hardware die entsprechende Software und Systeme laufen, welche Art von Protokoll das Motherboard verwendet und welche Schwachstellen bestehen können. Einerseits erleichtert es die „Aufrechterhaltung der abonnementbasierten Abrechnung, andererseits trägt es auch dazu bei, die Sicherheit von Software und Hardware zu gewährleisten“, sagte Wu Jianping.

Während des umfangreichen Entwicklungsprozesses einiger chinesischer Hersteller galt in den Anfangsjahren jedoch häufig der Standard für den Einsatz von Software und Komponenten, „so lange sie genutzt werden können“, was dazu führte, dass viele unterstützende Sicherheitsmanagementmaßnahmen nicht mithalten konnten Zeit und Hersteller haben den Patentschutz bestanden. Solche Methoden versperren Dritten die Möglichkeit, ihr Hardware-Design und ihre Hardware-Architektur zu erkennen, und können ihre Hardware-Versionsinformationen nicht erhalten. Daher bleiben die meisten Netzwerksicherheits-Penetrationstests oft auf der Anwendungsebene stehen und scheitern daran sinken auf die Hardwareschicht.

In diesem Zusammenhang schlug Wu Jianping weiter vor, dass wir einerseits die Konstruktion relevanter Industriestandards verbessern und der Aufsicht oder Dritten die Möglichkeit geben sollten, die Sicherheit intelligenter Hardwareprodukte zu überprüfen und zu testen Geben Sie auch der Einführung inländischer Architekturtechnologien Vorrang, um die Aufsicht über die Einkaufsliste des Unternehmens zu erleichtern und die Transparenz und Zuverlässigkeit des gesamten Produktdesigns auf Sicherheitsebene zu verbessern.