nouvelles

Récemment, Ecovacs a été confronté à des questions sur la sécurité de la vie privée. Deux chercheurs en sécurité, Dennis Giese et Braelynn, ont publié des vulnérabilités de sécurité dans les robots tondeuses à gazon et les robots de balayage d'Ecovacs lors de la conférence sur la sécurité Def Con.Il a déclaré que les attaquants pourraient utiliser ces vulnérabilités pour exploiter la caméra et le microphone intégrés de l'appareil afin d'espionner les utilisateurs.

Les données totales d'AVC montrent qu'au premier semestre de cette année, les robots de balayage représentaient 41 % du total des appareils de nettoyage, occupant fermement la première place dans le secteur du nettoyage et réalisant une croissance à deux chiffres des ventes et des ventes d'une année sur l'autre. sur un an, des augmentations de 18,8% et 11,9% respectivement.

Selon le site officiel d'Ecovacs Robotics, Ecovacs Robotics adhère et approfondit sa stratégie d'internationalisation. Actuellement, Ecovacs Robotics a établi des filiales de vente en Allemagne, aux États-Unis et au Japon, et y est parvenue avec succès.Il a ouvert des marchés dans plus de 80 grands pays et régions du monde. En 2016, Ecovacs est devenue la marque numéro un en termes de ventes de robots balayeurs en Chine.

Capture d'écran du site officiel de Cobos

"Lorsque les entreprises d'électroménager promeuvent l'intelligence des produits, elles doivent prendre en compte la protection de la vie privée et la sécurité des utilisateurs du point de vue de la sensibilisation, de la planification et de l'architecture technique."Le général de division Ding, observateur de l'industrie de l'électroménager, a souligné à un journaliste du Guangzhou Daily que dans ce processus, les données des utilisateurs doivent être collectées de manière scientifique et rationnelle, et les utilisateurs doivent être informés et consentis. n'améliore pas fondamentalement l'expérience intelligente de l'utilisateur. N'en demandez pas trop. Si vos propres capacités de base ne sont pas encore parfaites, vous pouvez faire appel à une société de données de sécurité tierce professionnelle pour effectuer les travaux de protection des données.

Chercheurs : Il peut être contrôlé à 130 mètres

Peut accéder à la caméra, au microphone, etc.

Selon le Southern Metropolis Daily, la Black Hat Black Hat Conference et la conférence des hackers Def Con sont connues sous le nom de « Coupe du monde » et d'« Oscars » des hackers. Elles se sont tenues à Las Vegas le week-end dernier, dans le but de partager les dernières recherches et hackers. technologie dans la communauté de la sécurité et des connaissances. Les chercheurs ont déclaré avoir analysé plus de 10 des appareils les plus vendus d'Ecovos, notamment des robots de balayage, des robots de tonte de pelouse et des robots de purification d'air.

Les chercheurs mentionnés ci-dessus ont déclaré que le principal problème des produits Ecovacs est qu’il existe une faille.Toute personne utilisant un téléphone mobile peut connecter et contrôler un robot Ecovacs jusqu'à une distance de 450 pieds (environ 130 mètres) via Bluetooth."Vous envoyez une charge utile et il ne lui faut qu'une seconde pour se reconnecter à notre machine. Elle peut par exemple se reconnecter à un serveur sur Internet. De là, nous pouvons contrôler le robot à distance", précise Denis Gies."Nous pouvons lire les informations d'identification Wi-Fi, nous pouvons lire toutes les cartes (des pièces enregistrées), accéder aux caméras, aux microphones, etc."

Les chercheurs mentionnés ci-dessus ont déclaré que le robot tondeuse à gazon active toujours le Bluetooth, tandis que le robot de balayage activera Bluetooth pendant 20 minutes lorsqu'il est allumé et redémarre automatiquement une fois par jour, de sorte que le robot de balayage est plus difficile à pirater.Étant donné que la plupart des nouveaux robots Ecovacs sont équipés d'au moins une caméra et d'un microphone, ces robots de balayage peuvent devenir des « outils de surveillance » une fois que les pirates prennent le contrôle des robots compromis.Les robots ne disposent pas non plus de lumières matérielles ni d'autres lumières pour alerter les personnes à proximité que leurs caméras et microphones sont allumés.

Selon 21 Finances,"La sécurité Bluetooth a toujours été un problème de sécurité courant." Wu Jianping, directeur du laboratoire de sécurité Bangbang, a souligné dans une interview que, comme la clé de couplage Bluetooth est un mot de passe purement numérique à 4 ou 6 chiffres, les ordinateurs modernes sont incapables de le faire lorsqu'il n'y a que 10 000 ou 1 million de possibilités. Il peut être déchiffré avec succès en quelques secondes.

En réponse à cette vulnérabilité sous-jacente du protocole, la société Bluetooth a publié la mise à jour version 5.4 en 2023, qui limite le nombre d'accès et de comparaisons clés sur une courte période, ce qui réduit dans une certaine mesure le risque de compromission de la connexion Bluetooth.

En plus des vulnérabilités liées au Bluetooth, les deux chercheurs ont également découvert d'autres problèmes de sécurité avec les produits Ecovacs, déclarant :Même si le compte utilisateur a été supprimé, les données associées au robot seront toujours enregistrées dans le serveur cloud ; le jeton d'authentification de l'identité de l'utilisateur sera également enregistré dans le cloud.Cela peut avoir pour conséquence que les utilisateurs concernés puissent toujours accéder à l'appareil après la suppression de leur compte, mettant ainsi en danger la confidentialité et la sécurité des utilisateurs qui achètent des machines d'occasion.

Cobos a répondu : Ne vous inquiétez pas trop

N'affectera pas les utilisateurs ordinaires

Dans l'après-midi du 13 août, un journaliste du « Daily Economic News » a participé à la conférence téléphonique d'Ecovos « en réponse aux questions liées à la sécurité des données », Ma Xianbin, directeur des relations publiques d'Ecovacs Grande Chine, a déclaré que deux agents de sécurité, Dennis Giese et. Brian, Les chercheurs se sont toujours intéressés à la sécurité des produits des entreprises chinoises de robots de balayage et ont également effectué des recherches correspondantes sur les produits d'autres marques nationales."Les deux chercheurs se sont spécialisés dans les appareils sans fil et embarqués."

Le contexte de cet incident est que deux chercheurs en sécurité ont affirmé avoir prononcé un discours lors de la conférence sur la sécurité Def Con aux États-Unis pour démontrer comment attaquer les équipements Ecovacs, mais la vidéo de leur discours n'a pas encore été diffusée. Concernant les chemins d'attaque et les techniques élaborés par les deux chercheurs ci-dessus,Cobos a apporté des améliorations techniques depuis l'année dernière et d'éventuelles voies de percée ont été bloquées, de sorte que le contenu que les deux chercheurs en sécurité avaient initialement prévu de publier n'a pas encore été publié.

Ecovacs estime que le problème du produit signalé par l'autre partie n'est pas une « faille », mais un problème courant auquel l'industrie est confrontée, c'est-à-dire que certaines personnes ayant des arrière-pensées peuvent « profiter des failles » dans le processus de vérification des connexions. Cependant,Ils ne peuvent pas le casser sans contact physique avec les produits de l'entreprise ou sans être à proximité des produits.En outre, l’autre partie affirme que les méthodes d’attaque développées sont efficaces sur un seul appareil et ne sont pas reproductibles.

"Nous pensons donc que les utilisateurs qui achètent le produit n'ont pas à s'inquiéter à ce sujet. Au moins, la situation actuelle n'affectera pas les utilisateurs ordinaires."» dit Ma Xianbin.

En outre, Cobos a déclaré que la société optimisait activement les mesures de protection de la sécurité des produits. Ma Xianbin a déclaré que ce renforcement des mesures de protection ne vise pas un seul cas ou un seul pirate informatique ou organisation, mais à rendre les mesures de sécurité de l'entreprise plus difficiles à découvrir pour les attaquants, réduisant ainsi les risques inutiles.

à l'heure actuelle,Les méthodes utilisées par Ecovacs incluent diverses vérifications de certificats, politiques de sécurité, contre-mesures contre le piratage de réseau, surveillance et mises à jour en temps réel des vulnérabilités d'exécution de code à distance, ainsi que la solidité des connexions entre appareils tiers, etc.Cobos a constamment changé de méthodes et de méthodes.

Concernant les « failles » dégagées par les deux chercheurs, Ma Xianbin estime que,Il s'agit d'une discussion technique. À un certain moment, l'autre partie a découvert un moyen de pirater l'appareil. Du point de vue de l'attitude, l'entreprise accueille favorablement les questions qui se limitent aux discussions techniques.

Selon le rapport annuel 2023 publié par Ecovacs,En 2023, le chiffre d'affaires total de l'entreprise s'élèvera à 15,502 milliards de yuans, soit une augmentation de 1,16 % par rapport à l'année précédente.Le bénéfice net attribuable aux actionnaires des sociétés cotées s'est élevé à 612 millions de RMB, soit une baisse de 63,96 % par rapport à l'année précédente. dans,Le revenu d'exploitation intérieur s'est élevé à 8,98 milliards de yuans, soit une baisse de 11,43 % sur un an ; le revenu d'exploitation à l'étranger s'est élevé à 6,522 milliards de yuans, soit une augmentation de 25,76 % sur un an.

Informations complètes divulguées par le Daily Economic News, le Guangzhou Daily, le Southern Metropolis Daily, 21 Finance et Mijing.com (Reporter Cheng Ya)