nouvelles

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Récemment, deux chercheurs en sécurité ont déclaré lors de la conférence sur la sécurité Def Con qu'ils avaient découvert des problèmes de sécurité avec les robots de balayage d'Ecovacs. Après s'être connectés au robot Ecovacs via Bluetooth, les pirates peuvent utiliser la connectivité WiFi intégrée au produit pour permettre le contrôle à distance et l'accès à la pièce. des cartes, des caméras, des microphones et d’autres fonctionnalités et informations au sein de son système d’exploitation.

En réponse aux problèmes ci-dessus, Ecovacs a déclaré dans une interview avec les journalistes de Southern Financial All-Media que la sécurité des données et la confidentialité des utilisateurs sont l'une des questions auxquelles Ecovacs attache le plus d'importance. Le comité de sécurité des robots d'Ecovacs a discuté de questions telles que la connexion réseau et. stockage des données des produits. Après avoir mené des recherches et des évaluations internes, la conclusion est que la probabilité que ces risques de sécurité se produisent dans l'environnement d'utilisation quotidienne de l'utilisateur est extrêmement faible, ce qui nécessite des outils de piratage professionnels et un contact étroit avec la machine. vous n'avez pas besoin de vous en soucier. Néanmoins, Ecovacs optimisera de manière proactive ses produits en fonction des résultats des recherches et des examens.

Les journalistes de Southern Finance ont constaté que si l'Internet des objets et les appareils électroménagers intelligents se développent rapidement, outre les robots de balayage, les nouveaux appareils intelligents pour la maison, tels que les serrures de porte intelligentes et les caméras domestiques, ont également connu de multiples problèmes de confidentialité et de sécurité au cours des dernières années. Cependant, les réglementations et normes de subdivision des industries connexes sont encore absentes.

Comment protéger la sécurité des informations dans des scénarios de vie familiale impliquant de nombreuses informations personnelles reste un problème urgent dans le secteur de la maison intelligente qui doit être résolu.

Risque de fissuration à distance

Selon deux chercheurs en sécurité, Dennis Giese et Braelynn, le problème de sécurité d'Ecovacs réside principalement dans la connexion Bluetooth. Les pirates peuvent associer l'appareil à un téléphone portable dans un rayon de 450 pieds (environ 130 mètres) et le contrôler une fois le contrôle effectué. , Vous pouvez vous connecter au serveur via la fonction de réseau WiFi intégrée du robot pour obtenir un contrôle à distance.

Actuellement, les mesures préventives prises par les équipements des robots de balayage d'Ecovacs consistent à activer le Bluetooth pendant 20 minutes après avoir été allumé et à redémarrer automatiquement une fois par jour. Cependant, le Bluetooth des tondeuses à gazon de la marque est toujours activé en plus lorsque la caméra est activée. est allumé En même temps, l'appareil lira un fichier audio toutes les cinq minutes pour rappeler aux utilisateurs que l'appareil est allumé, mais Dennis Giese a déclaré que les pirates peuvent supprimer le fichier audio pour maintenir la dissimulation des appareils piratés.

À cet égard, Ecovacs a déclaré qu'elle utiliserait des moyens techniques pour restreindre la connexion au deuxième compte, renforcerait la vérification secondaire des connexions mutuelles entre les appareils Bluetooth et augmenterait la sécurité des connexions Bluetooth en ajoutant des opérations physiques pour déclencher des connexions Bluetooth.

"La sécurité Bluetooth a toujours été un problème de sécurité courant." Wu Jianping, directeur du laboratoire de sécurité de Bangbang, a souligné dans une interview avec les journalistes de Southern Financial All-Media que, puisque la clé de couplage Bluetooth est une clé purement numérique à 4 ou 6 chiffres. mot de passe, Dans les situations où il n'y a que 10 000 ou 1 000 000 de possibilités, les ordinateurs modernes peuvent le déchiffrer en quelques secondes.

En plus des vulnérabilités liées au Bluetooth, les deux chercheurs ont également découvert d'autres problèmes de sécurité avec les produits Ecovacs. Ils ont souligné que même si le compte utilisateur a été supprimé, les données associées au robot seront toujours enregistrées dans le serveur cloud d'authentification de l'identité de l'utilisateur. Le jeton est également stocké dans le cloud, ce qui peut permettre à l'utilisateur concerné de continuer à accéder à l'appareil après la suppression du compte, mettant ainsi en danger la sécurité de la vie privée des utilisateurs qui achètent des machines d'occasion.

Wu Jianping a souligné que les lois et réglementations telles que la « Loi sur la sécurité des données de la République populaire de Chine » stipulent la période de stockage des données des utilisateurs par les fabricants dans des conditions spécifiques. Habituellement, lorsqu'un utilisateur supprime son compte, le fabricant n'a qu'à le détruire. les données pertinentes dans le délai correspondant.

Cependant, dans les pratiques actuelles de surveillance des données, à l'exception de certaines entreprises impliquées dans l'exportation de données, les autorités de régulation ne contrôlent dans la plupart des cas pas la mise en œuvre de la destruction des données pertinente, ce qui rend la destruction des données dépendante de la conscience des fabricants, intensifiant ainsi la situation. risque de fuite de données après une violation du serveur cloud.

Un journaliste de tous les médias de Southern Finance a découvert que dans l'accord de confidentialité d'Ecovacs prenant en charge l'APP, il était indiqué qu'après l'annulation du compte APP par l'utilisateur, le fabricant "ne l'utilisera que pendant la période nécessaire aux fins indiquées dans cette politique". et la durée maximale autorisée par les lois et réglementations. " Si vos informations personnelles sont conservées, nous les supprimerons ou les anonymiserons en temps opportun si elles dépassent ce délai. "

À cet égard, Covacs a déclaré qu'elle mettrait à jour le logiciel du produit pour appliquer en temps réel le mécanisme d'invalidation du jeton, augmenter la difficulté d'obtention du jeton et effacer les informations du journal après la réinitialisation de l'appareil pour garantir la sécurité des données. De plus, il sera rappelé aux utilisateurs que s'ils souhaitent transférer l'appareil à une autre personne, ils doivent réinitialiser l'appareil pour éviter toute fuite d'informations.

« À en juger par les problèmes signalés cette fois par le personnel de sécurité, des conditions physiques telles que le maintien de l'appareil dans une certaine plage ou son démontage sont nécessaires pour obtenir une fissure. Les utilisateurs ordinaires peuvent éviter cela en réinitialisant les paramètres de la machine, en vérifiant l'état de la machine à temps, etc. ", A déclaré un praticien de l'industrie de la maison intelligente lors d'une communication avec des journalistes.

Dans sa réponse, Ecovacs a en outre déclaré que l'entreprise respectait l'habitude des experts en sécurité de découvrir les risques liés aux produits grâce à la recherche et de communiquer de manière proactive avec les entreprises. Ecovacs Robotics estime que les experts en sécurité qui interagissent avec les entreprises par le biais d'exercices offensifs et défensifs et la publication des résultats peuvent contribuer à améliorer la sécurité des produits.

Manque de normes industrielles

En analysant les événements liés à la maison intelligente ces dernières années, il n'est pas rare de constater des conflits en matière de confidentialité dus à des failles de sécurité, en plus des robots de balayage, des caméras domestiques, des serrures de porte intelligentes et d'autres appareils connectés à Internet dotés de leurs propres capteurs d'image, de son et de son. les capacités de stockage sont théoriquement disponibles. Le risque d'être piraté à distance entraînant une fuite d'informations personnelles.

Derrière les problèmes de sécurité fréquents de divers appareils électroménagers intelligents, d'une part, la situation actuelle de la construction de la sécurité des entreprises doit être encore améliorée, et d'autre part, il y a également le manque de détails réglementaires dans les domaines connexes.

En prenant comme exemple le domaine des robots de balayage, la norme de sécurité générale actuelle principalement référencée dans l'industrie est « Exigences générales de sécurité pour les robots de service domestiques et similaires » (GB/T 41527-2022), mais cette norme n'implique que des panneaux et des instructions. , stabilité et problèmes de sécurité mécanique au niveau physique tels que le danger, la résistance mécanique, la structure, etc., mais n'incluent pas les problèmes de sécurité liés au système d'exploitation de l'appareil lui-même et aux informations personnelles de l'utilisateur collectées.

Wu Jianping a souligné que bien que mon pays ait actuellement des exigences réglementaires en matière de sécurité des réseaux, de conception et de fabrication de matériel, etc., il y a un manque de normes de subdivision correspondantes dans le domaine des produits intelligents combinant diverses exigences et garanties de sécurité. ont été prolongés sur cette base. Il n’y a aucun moyen d’en parler.

Prenons l'exemple des puces, qui sont actuellement les principaux dispositifs couramment utilisés dans le matériel intelligent national. Pour certaines puces qui utilisent des puces étrangères ou des solutions de conception qui s'appuient sur des idées étrangères, bien que les fabricants nationaux aient utilisé les produits, ils n'ont pas suivi leur intégralité. ensemble de systèmes et de processus de maintenance, ce qui rend la vulnérabilité du système Linux sous-jacent impossible à réparer pendant une longue période.

« Par exemple, le fournisseur de services de langage de programmation Java acquis par Oracle contrôlera sur quel type de matériel les logiciels et systèmes concernés s'exécutent, quel type de protocole utilise la carte mère et quelles vulnérabilités peuvent exister. maintien de la facturation par abonnement, et d'un autre côté, cela contribue également à garantir la sécurité des logiciels et du matériel », a déclaré Wu Jianping.

Cependant, au cours du processus de développement approfondi de certains fabricants chinois au cours des premières années, la norme d'utilisation des logiciels et des composants était souvent « aussi longtemps qu'ils peuvent être utilisés ». Cela a eu pour conséquence que de nombreuses mesures de gestion de la sécurité n'ont pas réussi à suivre le rythme. Avec le temps, les fabricants ont obtenu la protection par brevet. De telles méthodes empêchent les tiers de détecter la conception et l'architecture de leur matériel et ne peuvent pas obtenir les informations sur la version de leur matériel. En conséquence, la plupart des tests d'intrusion de sécurité réseau s'arrêtent souvent à la couche application et échouent. couler vers la couche matérielle.

À cet égard, Wu Jianping a en outre suggéré que, d'une part, nous devrions améliorer la construction de normes industrielles pertinentes et donner à la supervision ou à des tiers un moyen d'inspecter et de tester la sécurité des produits matériels intelligents, d'autre part, les fabricants chinois peuvent le faire ; donner également la priorité à l'adoption de technologies d'architecture nationales pour faciliter la supervision. L'agence effectue une supervision à partir de la liste d'achat de l'entreprise pour améliorer la transparence et la fiabilité de la conception globale du produit au niveau de la sécurité.