νέα

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Πρόσφατα, δύο ερευνητές ασφαλείας είπαν στο συνέδριο ασφαλείας Def Con ότι ανακάλυψαν ζητήματα ασφαλείας με τα προϊόντα ρομπότ της Ecovacs Αφού συνδεθούν με το ρομπότ Ecovacs μέσω Bluetooth, οι χάκερ μπορούν να χρησιμοποιήσουν το ενσωματωμένο WiFi Connectivity του προϊόντος που επιτρέπει τον απομακρυσμένο έλεγχο και την πρόσβαση στο δωμάτιο. χάρτες, κάμερες, μικρόφωνα και άλλες δυνατότητες και πληροφορίες εντός του λειτουργικού του συστήματος.

Σε απάντηση στα παραπάνω ζητήματα, η Ecovacs είπε σε μια συνέντευξη με δημοσιογράφους της Southern Financial All-Media ότι η ασφάλεια των δεδομένων και το απόρρητο των χρηστών είναι ένα από τα ζητήματα στα οποία η Ecovacs αποδίδει μεγαλύτερη σημασία Η Επιτροπή Ασφάλειας Ρομπότ της Ecovacs έχει συζητήσει θέματα όπως η σύνδεση δικτύου και Αποθήκευση δεδομένων προϊόντων Μετά από εσωτερική έρευνα και αξιολόγηση, το συμπέρασμα είναι ότι η πιθανότητα εμφάνισης αυτών των κινδύνων ασφαλείας στο καθημερινό περιβάλλον χρήσης του χρήστη είναι εξαιρετικά χαμηλή δεν χρειάζεται να ανησυχείτε για αυτό. Ωστόσο, η Ecovacs θα βελτιστοποιήσει προληπτικά τα προϊόντα της με βάση τα ευρήματα της έρευνας και της αναθεώρησης.

Οι δημοσιογράφοι όλων των μέσων ενημέρωσης της Southern Finance διαπίστωσαν ότι ενώ το Διαδίκτυο των πραγμάτων και οι έξυπνες οικιακές συσκευές αναπτύσσονται με ταχείς ρυθμούς, εκτός από τα ρομπότ σκουπίσματος, οι αναδυόμενες έξυπνες οικιακές συσκευές όπως οι έξυπνες κλειδαριές θυρών και οι οικιακές κάμερες έχουν επίσης αντιμετωπίσει πολλά ζητήματα απορρήτου και ασφάλειας τα τελευταία χρόνια Ωστόσο, οι κανονισμοί και τα πρότυπα υποδιαίρεσης συναφών βιομηχανιών εξακολουθούν να απουσιάζουν.

Ο τρόπος προστασίας της ασφάλειας των πληροφοριών σε σενάρια οικογενειακής ζωής που περιλαμβάνουν πολλές προσωπικές πληροφορίες απορρήτου εξακολουθεί να είναι ένα επείγον ζήτημα στη βιομηχανία έξυπνων κατοικιών που πρέπει να επιλυθεί.

Κίνδυνος ρωγμών από απόσταση

Σύμφωνα με δύο ερευνητές ασφαλείας, Dennis Giese και Braelynn, το πρόβλημα ασφαλείας του Ecovacs έγκειται κυρίως στη σύνδεση Bluetooth, οι Hackers μπορούν να ταιριάξουν τη συσκευή με ένα κινητό τηλέφωνο σε απόσταση 450 ποδιών (περίπου 130 μέτρα) και να την ελέγξουν , Μπορείτε να συνδεθείτε στον διακομιστή μέσω της ενσωματωμένης λειτουργίας δικτύωσης WiFi του ρομπότ για να επιτύχετε τον απομακρυσμένο έλεγχο.

Επί του παρόντος, τα προληπτικά μέτρα που λαμβάνονται από τον εξοπλισμό ρομπότ της Ecovacs είναι η ενεργοποίηση του Bluetooth για 20 λεπτά μετά την ενεργοποίηση και η αυτόματη επανεκκίνηση μία φορά την ημέρα είναι ενεργοποιημένο Ταυτόχρονα, η συσκευή θα αναπαράγει ένα αρχείο ήχου κάθε πέντε λεπτά για να υπενθυμίζει στους χρήστες ότι η συσκευή είναι ενεργοποιημένη, αλλά ο Dennis Giese είπε ότι οι χάκερ μπορούν να διαγράψουν το αρχείο ήχου για να διατηρήσουν την απόκρυψη των σπασμένων συσκευών.

Από την άποψη αυτή, η Ecovacs δήλωσε ότι θα χρησιμοποιήσει τεχνικά μέσα για να περιορίσει τη σύνδεση δεύτερου λογαριασμού, να ενισχύσει τη δευτερεύουσα επαλήθευση αμοιβαίων συνδέσεων μεταξύ συσκευών Bluetooth και να αυξήσει την ασφάλεια των συνδέσεων Bluetooth προσθέτοντας φυσικές λειτουργίες για την ενεργοποίηση συνδέσεων Bluetooth.

«Η ασφάλεια του Bluetooth ήταν πάντα ένα κοινό ζήτημα ασφάλειας, ο Wu Jianping, επικεφαλής του Bangbang Security Laboratory, επεσήμανε σε μια συνέντευξη με δημοσιογράφους της Southern Financial All-Media ότι αφού το κλειδί σύζευξης Bluetooth είναι ένα καθαρά ψηφιακό 4ψήφιο ή 6ψήφιο». κωδικός πρόσβασης, Σε περιπτώσεις όπου υπάρχουν μόνο 10.000 ή 1.000.000 δυνατότητες, οι σύγχρονοι υπολογιστές μπορούν να τον αποκρυπτογραφήσουν με επιτυχία μέσα σε λίγα δευτερόλεπτα.

Εκτός από τα τρωτά σημεία που σχετίζονται με το Bluetooth, οι δύο ερευνητές ανακάλυψαν επίσης άλλα ζητήματα ασφαλείας με τα προϊόντα Ecovacs Token αποθηκεύεται επίσης στο cloud, γεγονός που μπορεί να έχει ως αποτέλεσμα ο σχετικός χρήστης να εξακολουθεί να έχει πρόσβαση στη συσκευή μετά τη διαγραφή του λογαριασμού, θέτοντας σε κίνδυνο την ασφάλεια του απορρήτου των χρηστών που αγοράζουν μεταχειρισμένα μηχανήματα.

Ο Wu Jianping επεσήμανε ότι νόμοι και κανονισμοί, όπως ο "Νόμος για την Ασφάλεια Δεδομένων της Λαϊκής Δημοκρατίας της Κίνας" ορίζουν την περίοδο αποθήκευσης των δεδομένων χρήστη από τους κατασκευαστές υπό συγκεκριμένες συνθήκες. Συνήθως, όταν ένας χρήστης διαγράφει τον λογαριασμό του, ο κατασκευαστής χρειάζεται μόνο να καταστρέψει τα σχετικά στοιχεία εντός της αντίστοιχης περιόδου.

Ωστόσο, στην τρέχουσα πρακτική εποπτείας δεδομένων, εκτός από ορισμένες εταιρείες που ασχολούνται με εξαγωγές δεδομένων, οι ρυθμιστικές αρχές στις περισσότερες περιπτώσεις δεν ελέγχουν την εφαρμογή της σχετικής καταστροφής δεδομένων, γεγονός που καθιστά την καταστροφή δεδομένων εξαρτημένη από τη συνείδηση ​​των κατασκευαστών, εντείνοντας έτσι την κίνδυνος διαρροής δεδομένων μετά την παραβίαση του διακομιστή cloud.

Ένας ρεπόρτερ όλων των μέσων από τη Southern Finance ανακάλυψε ότι στη συμφωνία απορρήτου της Ecovacs που υποστηρίζει την APP, ανέφερε ότι αφού ο χρήστης ακυρώσει τον λογαριασμό APP, ο κατασκευαστής θα τον "χρησιμοποιήσει μόνο για την περίοδο που απαιτείται για τον σκοπό που αναφέρεται στην παρούσα πολιτική και ο μέγιστος χρόνος που επιτρέπεται από τους νόμους και τους κανονισμούς." Εάν τα προσωπικά σας στοιχεία διατηρηθούν, θα τα διαγράψουμε ή θα τα ανωνυμοποιήσουμε εγκαίρως εάν υπερβούν αυτό το χρονικό όριο."

Από αυτή την άποψη, η Covacs είπε ότι θα ενημερώσει το λογισμικό του προϊόντος για να τεθεί σε ισχύ σε πραγματικό χρόνο ο μηχανισμός ακύρωσης του διακριτικού, θα αυξήσει τη δυσκολία απόκτησης του διακριτικού και θα διαγράψει τις πληροφορίες καταγραφής μετά την επαναφορά της συσκευής για να διασφαλίσει την ασφάλεια των δεδομένων. Επιπλέον, θα υπενθυμίζεται στους χρήστες ότι εάν θέλουν να μεταφέρουν τη συσκευή σε άλλο άτομο, θα πρέπει να επαναφέρουν τη συσκευή για να αποτρέψουν τη διαρροή πληροφοριών.

"Κρίνοντας από τα ζητήματα που δημοσιεύτηκαν από το προσωπικό ασφαλείας αυτή τη φορά, απαιτούνται φυσικές συνθήκες όπως η διατήρηση της συσκευής σε ένα συγκεκριμένο εύρος ή η αποσυναρμολόγηση της για να επιτευχθεί ρωγμή. Οι απλοί χρήστες μπορούν να το αποφύγουν αυτό επαναφέροντας τις ρυθμίσεις του μηχανήματος, ελέγχοντας έγκαιρα την κατάσταση του μηχανήματος κ.λπ. », είπε ένας επαγγελματίας της έξυπνης οικιακής βιομηχανίας όταν επικοινωνούσε με δημοσιογράφους.

Στην απάντηση της Ecovacs, δήλωσε περαιτέρω ότι η εταιρεία σέβεται τη συνήθεια των ειδικών σε θέματα ασφάλειας να ανακαλύπτουν κινδύνους προϊόντων μέσω έρευνας και να επικοινωνούν προληπτικά με τις επιχειρήσεις. Η Ecovacs Robotics πιστεύει ότι οι ειδικοί σε θέματα ασφάλειας που αλληλεπιδρούν με επιχειρήσεις μέσω επιθετικών και αμυντικών ασκήσεων και απελευθέρωσης αποτελεσμάτων μπορούν να συμβάλουν στη βελτίωση της ασφάλειας των προϊόντων.

Έλλειψη βιομηχανικών προτύπων

Ταξινόμηση μέσω έξυπνων συμβάντων που σχετίζονται με το σπίτι τα τελευταία χρόνια, δεν είναι ασυνήθιστο να βλέπουμε διαφωνίες απορρήτου λόγω τρωτών σημείων ασφαλείας, εκτός από τα ρομπότ, τις οικιακές κάμερες, τις έξυπνες κλειδαριές θυρών και άλλες συσκευές συνδεδεμένες στο Διαδίκτυο με δική τους εικόνα, αισθητήρες ήχου και. Οι δυνατότητες αποθήκευσης είναι θεωρητικά διαθέσιμες.

Πίσω από τα συχνά ζητήματα ασφάλειας των διαφόρων έξυπνων οικιακών συσκευών, αφενός, πρέπει να βελτιωθεί περαιτέρω η τρέχουσα κατάσταση της κατασκευής ασφάλειας επιχειρήσεων και, αφετέρου, υπάρχει επίσης η έλλειψη ρυθμιστικών λεπτομερειών σε συναφείς τομείς.

Λαμβάνοντας ως παράδειγμα τον τομέα των ρομπότ σκουπίσματος, το τρέχον πρότυπο γενικής ασφάλειας που αναφέρεται κυρίως στη βιομηχανία είναι "Γενικές απαιτήσεις ασφάλειας για ρομπότ οικιακής και παρόμοιας χρήσης" (GB/T 41527-2022), αλλά αυτό το πρότυπο περιλαμβάνει μόνο πινακίδες και οδηγίες , σταθερότητα και μηχανικά Θέματα ασφάλειας σε φυσικό επίπεδο, όπως κίνδυνος, μηχανική αντοχή, δομή κ.λπ., αλλά δεν περιλαμβάνουν θέματα ασφάλειας που σχετίζονται με το λειτουργικό σύστημα της ίδιας της συσκευής και τα προσωπικά στοιχεία του χρήστη που συλλέγονται.

Ο Wu Jianping επεσήμανε ότι παρόλο που η χώρα μου έχει επί του παρόντος ρυθμιστικές απαιτήσεις σε θέματα ασφάλειας δικτύου, σχεδίασης και κατασκευής υλικού κ.λπ., υπήρξε έλλειψη αντίστοιχων προτύπων υποδιαίρεσης στον τομέα των έξυπνων προϊόντων που συνδυάζουν διάφορες απαιτήσεις ασφαλείας και διασφαλίσεις έχουν παραταθεί σε αυτή τη βάση.

Πάρτε ως παράδειγμα τα τσιπ, τα οποία είναι επί του παρόντος οι βασικές συσκευές που χρησιμοποιούνται συνήθως στο εγχώριο έξυπνο υλικό, για ορισμένα τσιπ που χρησιμοποιούν ξένα τσιπ ή σχεδιαστικές λύσεις που βασίζονται σε ξένες ιδέες, παρόλο που οι εγχώριοι κατασκευαστές έχουν χρησιμοποιήσει τα προϊόντα, δεν έχουν ακολουθήσει τα πλήρη τους. σύνολο συστημάτων και διαδικασίας συντήρησης, γεγονός που καθιστά την ευπάθεια του υποκείμενου συστήματος Linux να μην μπορεί να επισκευαστεί για μεγάλο χρονικό διάστημα.

"Για παράδειγμα, ο πάροχος υπηρεσιών λογισμικού γλώσσας προγραμματισμού Java που αποκτήθηκε από την Oracle θα ελέγχει σε ποιον τύπο υλικού τρέχουν το σχετικό λογισμικό και συστήματα, ποιος τύπος πρωτοκόλλου χρησιμοποιεί η μητρική πλακέτα και ποιες ευπάθειες μπορεί να υπάρχουν. Από τη μία πλευρά, διευκολύνει την συντήρηση της χρέωσης βάσει συνδρομής και, από την άλλη πλευρά, βοηθά επίσης στη διασφάλιση της ασφάλειας του λογισμικού και του υλικού», δήλωσε ο Wu Jianping.

Ωστόσο, κατά τη διάρκεια της εκτεταμένης διαδικασίας ανάπτυξης ορισμένων Κινέζων κατασκευαστών τα πρώτα χρόνια, το πρότυπο για τη χρήση λογισμικού και εξαρτημάτων ήταν συχνά "εφόσον μπορεί να χρησιμοποιηθεί". Ο χρόνος και οι κατασκευαστές πέρασαν την προστασία με δίπλωμα ευρεσιτεχνίας Τέτοιες μέθοδοι αποκόπτουν το δρόμο για τον εντοπισμό του σχεδιασμού και της αρχιτεκτονικής του υλικού τους και δεν μπορούν να λάβουν τις πληροφορίες της έκδοσης υλικού τους. Ως αποτέλεσμα, οι περισσότερες δοκιμές διείσδυσης ασφάλειας δικτύου συχνά σταματούν στο επίπεδο εφαρμογής και αποτυγχάνουν βυθιστεί στο στρώμα υλικού.

Από την άποψη αυτή, ο Wu Jianping πρότεινε περαιτέρω ότι, αφενός, θα πρέπει να βελτιώσουμε την κατασκευή των σχετικών βιομηχανικών προτύπων και να δώσουμε στην εποπτεία ή σε τρίτους έναν τρόπο να επιθεωρήσουν και να δοκιμάσουν την ασφάλεια των προϊόντων έξυπνου υλικού, από την άλλη πλευρά Δώστε επίσης προτεραιότητα στην υιοθέτηση τεχνολογιών εγχώριας αρχιτεκτονικής για τη διευκόλυνση της εποπτείας Ο οργανισμός διενεργεί επίβλεψη από τη λίστα αγορών της εταιρείας για τη βελτίωση της διαφάνειας και της αξιοπιστίας του συνολικού σχεδιασμού του προϊόντος σε επίπεδο ασφάλειας.