uutiset

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Äskettäin kaksi tietoturvatutkijaa sanoi Def Con -tietoturvakonferenssissa, että he löysivät Ecovacsin lakaisurobottituotteissa turvallisuusongelmia Yhdistettyään Ecovacs-robottiin Bluetoothin kautta, hakkerit voivat käyttää tuotteen sisäänrakennettua WiFi-yhteyttä, joka ohjaa sitä etänä ja pääsee käsiksi huonekarttoihin. , kamerat, mikrofonit ja muut ominaisuudet ja tiedot käyttöjärjestelmässään.

Vastauksena yllä oleviin kysymyksiin Ecovacs sanoi haastattelussa Southern Financial All-Media -toimittajille, että tietoturva ja käyttäjien yksityisyys ovat yksi niistä asioista, joita Ecovacs pitää tärkeimpänä Tuotteiden tietojen tallennus Sisäisen tutkimuksen ja arvioinnin jälkeen päädyttiin siihen, että todennäköisyys näiden turvallisuusriskien esiintymiselle käyttäjän päivittäisessä käyttöympäristössä on erittäin pieni käyttäjien ei tarvitse huolehtia siitä. Siitä huolimatta Ecovacs optimoi tuotteitaan ennakoivasti tutkimus- ja arviointitulosten perusteella.

Southern Financen mediatoimittajat havaitsivat, että vaikka esineiden internet ja älykkäät kodinkoneet kehittyvät nopeasti, lakaisurobottien lisäksi myös nousevat älykodin laitteet, kuten älykkäät ovenlukot ja kotikamerat, ovat kokeneet viime vuosina useita tietosuoja- ja turvallisuusongelmia. Asiaan liittyvien toimialojen säännökset ja standardit puuttuvat kuitenkin edelleen.

Tietoturvan turvaaminen perhe-elämän skenaarioissa, joihin liittyy paljon henkilökohtaista yksityisyyttä, on edelleen ongelma, joka on ratkaistava pikaisesti älykotiteollisuudessa.

Halkeamisriski etänä

Kahden turvallisuustutkijan Dennis Giesen ja Braelynnin mukaan Ecovacsin turvallisuusongelma piilee pääasiassa Bluetooth-yhteydessä, ja hakkerit voivat yhdistää laitteen matkapuhelimeen 450 jalan (noin 130 metrin) etäisyydellä ja ohjata sitä , Voit muodostaa yhteyden palvelimeen robotin sisäänrakennetun WiFi-verkkotoiminnon kautta kauko-ohjauksen saavuttamiseksi.

Tällä hetkellä Ecovacsin lakaisurobottien ennaltaehkäisevänä toimenpiteenä on, että Bluetooth otetaan käyttöön 20 minuutiksi päälle kytkemisen jälkeen ja käynnistyy automaattisesti uudelleen kerran päivässä on päällä. Samaan aikaan laite toistaa äänitiedoston viiden minuutin välein muistuttaakseen käyttäjiä, että laite on päällä, mutta Dennis Giese sanoi, että hakkerit voivat poistaa äänitiedoston säilyttääkseen murtuneiden laitteiden piilotuksen.

Tältä osin Ecovacs ilmoitti, että se aikoo käyttää teknisiä keinoja rajoittaakseen toisen tilin kirjautumista, vahvistaakseen Bluetooth-laitteiden keskinäisten yhteyksien toissijaista varmennusta ja lisäävän Bluetooth-yhteyksien turvallisuutta lisäämällä fyysisiä toimintoja Bluetooth-yhteyksien käynnistämiseksi.

"Bluetooth-suojaus on aina ollut yleinen tietoturvakysymys Wu Jianping, Bangbangin turvallisuuslaboratorion johtaja, huomautti Southern Financial All-Media -toimittajan haastattelussa, että koska Bluetooth-pariliitosavain on puhtaasti digitaalinen 4- tai 6-numeroinen. numeroinen salasana, Tilanteissa, joissa on vain 10 000 tai 1 000 000 mahdollisuutta, nykyaikaiset tietokoneet voivat onnistuneesti salata sen muutamassa sekunnissa.

Bluetoothiin liittyvien haavoittuvuuksien lisäksi kaksi tutkijaa havaitsivat myös muita tietoturvaongelmia Ecovacs-tuotteista. He huomauttivat, että vaikka käyttäjätili olisi poistettu, robotin tiedot säilyvät silti pilvipalvelimella Todennustunnukset tallennetaan myös pilveen, mikä saattaa johtaa siihen, että asiaankuuluvat käyttäjät voivat silti päästä laitteeseen tilinsä poistamisen jälkeen, mikä vaarantaa käytettyjä koneita ostavien käyttäjien yksityisyyden ja turvallisuuden.

Wu Jianping huomautti, että lait ja määräykset, kuten "Kiinan kansantasavallan tietoturvalaki", määräävät valmistajien käyttäjätietojen säilytysajan tietyissä olosuhteissa. Yleensä kun käyttäjä poistaa tilinsä, valmistajan tarvitsee vain tuhota asiaankuuluvat tiedot vastaavan ajanjakson aikana.

Nykyisessä tiedonvalvontakäytännössä eräitä tiedonvientiliiketoimintaa harjoittavia yrityksiä lukuun ottamatta valvontaviranomaiset eivät kuitenkaan useimmissa tapauksissa valvo asiaankuuluvan tietojen tuhoamisen toteuttamista, mikä tekee tietojen tuhoamisesta riippuvaista valmistajien tietoisuudesta, mikä tehostaa. tietovuodon riski pilvipalvelimen rikkoutumisen jälkeen.

Southern Financen koko median toimittaja sai selville, että APP:ta tukevan Ecovacsin tietosuojasopimuksessa se totesi, että kun käyttäjä on peruuttanut APP-tilin, valmistaja "käyttää sitä vain niin kauan kuin on tarpeen tässä käytännössä mainittuun tarkoitukseen. ja lakien ja määräysten salliman enimmäisajan." Jos henkilötietosi säilytetään, poistamme ne tai anonymisoimme ne ajoissa, jos se ylittää tämän aikarajan."

Tältä osin Covacs sanoi, että se päivittää tuoteohjelmiston niin, että se tulee voimaan reaaliajassa tunnuksen mitätöintimekanismissa, vaikeuttaa tunnuksen saamista ja tyhjentää lokitiedot laitteen nollauksen jälkeen tietosuojan varmistamiseksi. Lisäksi käyttäjiä muistutetaan, että jos he haluavat siirtää laitteen toiselle henkilölle, heidän tulee nollata laite tietojen vuotamisen estämiseksi.

"Turvahenkilöstön tällä kertaa julkaisemista ongelmista päätellen halkeilun saavuttaminen edellyttää fyysisiä olosuhteita, kuten laitteen pitämistä tietyllä alueella tai sen purkamista. Tavalliset käyttäjät voivat välttää tämän nollaamalla koneen asetukset ja tarkistamalla koneen tilan ajoissa käyttää." Älykotialan ammattilainen sanoi kommunikoidessaan toimittajien kanssa.

Ecovacsin vastauksessa se totesi lisäksi, että yritys kunnioittaa tietoturva-asiantuntijoiden tapaa löytää tuotteiden vaarat tutkimuksen avulla ja kommunikoida ennakoivasti yritysten kanssa. Ecovacs Robotics uskoo, että tietoturva-asiantuntijat, jotka ovat vuorovaikutuksessa yritysten kanssa hyökkäävien ja puolustavien harjoitusten ja tulosten julkaisemisen kautta, voivat auttaa parantamaan tuoteturvallisuutta.

Alan standardien puute

Viime vuosien älykotiin liittyviä tapahtumia lajitellessa ei ole harvinaista nähdä tietoturvahaavoittuvuuksista johtuvia kiistoja lakaisurobottien, kotikameroiden, älykkäiden ovilukkojen ja muiden Internet-yhteyttä käyttävien laitteiden, joissa on oma kuva, äänisensorit ja Tallennusmahdollisuudet ovat teoriassa käytettävissä. Riski joutua hakkerointiin etäältä, mikä johtaa henkilökohtaisten tietojen vuotamiseen.

Erilaisten älykoneiden toistuvien turvallisuusongelmien takana on toisaalta yritysten turvallisuusrakentamisen nykytilanne, joka kaipaa edelleen parannusta, ja toisaalta myös asiaan liittyvien alojen sääntelyn yksityiskohtien puute.

Lakaisurobottien alalta esimerkkinä nykyinen yleinen turvallisuusstandardi, johon pääasiassa viitataan alalla, on "Yleiset turvallisuusvaatimukset kotitalous- ja vastaavaan käyttöön tarkoitettuja palvelurobotteja varten" (GB/T 41527-2022), mutta tämä standardi sisältää vain kylttejä ja ohjeita. , vakaus ja mekaaniset turvallisuuskysymykset fyysisellä tasolla, kuten vaara, mekaaninen lujuus, rakenne jne., mutta eivät sisällä itse laitteen käyttöjärjestelmään ja käyttäjän kerättyihin henkilötietoihin liittyviä turvallisuuskysymyksiä.

Wu Jianping huomautti, että vaikka maassani on tällä hetkellä sääntelyvaatimuksia verkkoturvallisuudesta, laitteiston suunnittelusta ja valmistuksesta, älykkäiden tuotteiden alalla ei ole ollut vastaavia alajakostandardeja, jotka yhdistävät erilaisia ​​tietoturvavaatimuksia ja suojatoimia on pidennetty tällä perusteella. Siitä ei voi puhua.

Otetaan esimerkkinä sirut, jotka ovat tällä hetkellä yleisesti käytettyjä kotimaisissa älylaitteissa käytettyjä siruja. Joidenkin sirujen osalta, jotka käyttävät ulkomaisia ​​siruja tai ulkomaisia ​​ideoita hyödyntäviä suunnitteluratkaisuja, vaikka kotimaiset valmistajat ovat käyttäneet tuotteita, he eivät ole seuranneet niiden täydellistä. Ylläpitojärjestelmien ja -prosessien sarja, mikä tekee taustalla olevan Linux-järjestelmän haavoittuvuuden korjaamisen mahdotonta pitkään aikaan.

"Esimerkiksi Oraclen hankkima Java-ohjelmointikielen ohjelmistopalveluntarjoaja valvoo, minkä tyyppisillä laitteistoilla kyseiset ohjelmistot ja järjestelmät toimivat, minkä tyyppistä protokollaa emolevy käyttää ja mitä haavoittuvuuksia voi esiintyä. Toisaalta se helpottaa tilauspohjaisen veloituksen ylläpitoa ja toisaalta se auttaa myös varmistamaan ohjelmistojen ja laitteistojen turvallisuuden”, Wu Jianping sanoi.

Joidenkin kiinalaisten valmistajien alkuvuosien laajan kehitysprosessin aikana ohjelmistojen ja komponenttien käytön standardi oli kuitenkin usein "niin kauan kuin niitä voidaan käyttää". Tämä johti siihen, että monet turvallisuuden hallintatoimenpiteet eivät pysyneet mukana aikaa, ja valmistajat ovat läpäisseet patenttisuojan. Tällaiset menetelmät katkaisivat kolmansien osapuolien tien havaita laitteiston suunnittelua ja arkkitehtuuria, eivätkä he voi saada tietoja laitteiston versiosta. Tämän seurauksena useimmat verkon suojaustestit pysähtyvät usein sovelluskerrokseen ja epäonnistuvat uppoaa laitteistokerrokseen.

Tältä osin Wu Jianping ehdotti lisäksi, että toisaalta meidän pitäisi parantaa asiaankuuluvien alan standardien rakentamista ja antaa valvonnalle tai kolmansille osapuolille mahdollisuus tarkastaa ja testata älykkäiden laitteistotuotteiden turvallisuutta, toisaalta kiinalaiset valmistajat voivat etusijalle myös kotimaisen arkkitehtuuriteknologian ottaminen käyttöön valvonnan helpottamiseksi. Virasto suorittaa valvontaa yrityksen ostolistalta parantaakseen koko tuotesuunnittelun läpinäkyvyyttä ja luotettavuutta turvallisuustasolla.