berita

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Baru-baru ini, dua peneliti keamanan mengatakan pada konferensi keamanan Def Con bahwa mereka menemukan masalah keamanan dengan produk robot penyapu Ecovacs. Setelah terhubung ke robot Ecovacs melalui Bluetooth, peretas dapat menggunakan Konektivitas WiFi bawaan produk untuk mengontrolnya dari jarak jauh dan mengakses peta ruangan. , kamera, mikrofon, dan fitur serta informasi lainnya dalam sistem operasinya.

Menanggapi masalah di atas, Ecovacs mengatakan dalam sebuah wawancara dengan reporter Southern Financial All-Media bahwa keamanan data dan privasi pengguna adalah salah satu masalah yang paling dianggap penting oleh Ecovacs. Komite Keamanan Robot Ecovacs telah membahas masalah-masalah seperti koneksi jaringan dan penyimpanan data produk. Setelah melakukan penelitian dan evaluasi internal, kesimpulan yang dicapai adalah bahwa kemungkinan terjadinya risiko keamanan ini di lingkungan penggunaan sehari-hari pengguna sangatlah rendah. Hal ini memerlukan alat peretasan profesional dan kontak dekat dengan mesin untuk menyelesaikannya pengguna tidak perlu khawatir tentang hal itu. Meskipun demikian, Ecovacs akan secara proaktif mengoptimalkan produknya berdasarkan penelitian dan tinjauan temuan.

Wartawan media Southern Finance menemukan bahwa meskipun Internet of Things dan peralatan rumah tangga pintar berkembang pesat, selain robot penyapu, perangkat rumah pintar yang bermunculan seperti kunci pintu pintar dan kamera rumah juga mengalami berbagai masalah privasi dan keamanan dalam beberapa tahun terakhir. Namun peraturan dan standar Subdivisi Industri terkait masih belum ada.

Bagaimana melindungi keamanan informasi dalam skenario kehidupan keluarga yang melibatkan banyak informasi privasi pribadi masih menjadi masalah yang perlu segera diselesaikan dalam industri rumah pintar.

Risiko retak jarak jauh

Menurut dua peneliti keamanan Dennis Giese dan Braelynn, masalah keamanan Ecovacs terutama terletak pada koneksi Bluetooth. Peretas dapat mencocokkan perangkat dengan ponsel dalam jarak 450 kaki (sekitar 130 meter) dan mengendalikannya , Anda dapat terhubung ke server melalui fungsi jaringan WiFi bawaan robot untuk mencapai kendali jarak jauh.

Saat ini, tindakan pencegahan yang dilakukan oleh peralatan robot penyapu Ecovacs adalah dengan mengaktifkan Bluetooth selama 20 menit setelah dihidupkan dan memulai ulang secara otomatis sekali sehari. Namun, Bluetooth pada mesin pemotong rumput merek tersebut juga selalu menyala; dihidupkan Pada saat yang sama, perangkat akan memutar file audio setiap lima menit untuk mengingatkan pengguna bahwa perangkat dalam keadaan hidup, tetapi Dennis Giese mengatakan bahwa peretas dapat menghapus file audio untuk menyembunyikan perangkat yang diretas.

Dalam hal ini, Ecovacs menyatakan akan menggunakan cara teknis untuk membatasi login akun kedua, memperkuat verifikasi sekunder koneksi timbal balik antara perangkat Bluetooth, dan meningkatkan keamanan koneksi Bluetooth dengan menambahkan operasi fisik untuk memicu koneksi Bluetooth.

"Keamanan Bluetooth selalu menjadi masalah keamanan umum." Wu Jianping, kepala Laboratorium Keamanan Bangbang, menunjukkan dalam sebuah wawancara dengan reporter Southern Financial All-Media bahwa karena kunci pemasangan Bluetooth adalah murni digital 4-digit atau 6-- kata sandi digit, Dalam situasi di mana hanya ada 10.000 atau 1.000.000 kemungkinan, komputer modern dapat berhasil menguraikannya dalam beberapa detik.

Selain kerentanan terkait Bluetooth, kedua peneliti juga menemukan masalah keamanan lainnya pada produk Ecovacs. Mereka menunjukkan bahwa meskipun akun pengguna telah dihapus, data terkait robot akan tetap disimpan di server cloud; Token otentikasi juga disimpan di cloud, yang dapat mengakibatkan pengguna terkait masih dapat mengakses perangkat setelah menghapus akun mereka, sehingga membahayakan privasi dan keamanan pengguna yang membeli mesin bekas.

Wu Jianping menunjukkan bahwa undang-undang dan peraturan seperti "Undang-undang Keamanan Data Republik Rakyat Tiongkok" menetapkan periode penyimpanan data pengguna oleh produsen dalam kondisi tertentu Biasanya, ketika pengguna menghapus akunnya, produsen hanya perlu menghancurkannya data yang relevan dalam periode yang bersangkutan.

Namun, dalam praktik pengawasan data saat ini, kecuali untuk beberapa perusahaan yang terlibat dalam bisnis ekspor data, otoritas pengatur dalam banyak kasus tidak meneliti pelaksanaan pemusnahan data yang relevan, sehingga pemusnahan data bergantung pada kesadaran produsen, sehingga semakin intensif. risiko kebocoran data setelah server cloud dibobol.

Seorang reporter semua media dari Southern Finance menemukan bahwa dalam perjanjian privasi Ecovacs yang mendukung APP, dinyatakan bahwa setelah pengguna membatalkan akun APP, pabrikan "hanya akan menggunakannya selama jangka waktu yang diperlukan untuk tujuan yang dinyatakan dalam kebijakan ini. dan waktu maksimum yang diperbolehkan oleh undang-undang dan peraturan." Jika informasi pribadi Anda disimpan, kami akan menghapusnya atau menganonimkannya tepat waktu jika melebihi batas waktu ini."

Dalam hal ini, Covacs mengatakan akan memperbarui perangkat lunak produk agar mekanisme pembatalan token berlaku secara real-time, meningkatkan kesulitan mendapatkan token, dan menghapus informasi log setelah mengatur ulang perangkat untuk memastikan keamanan data. Selain itu, pengguna akan diingatkan bahwa jika ingin mentransfer perangkat ke orang lain, sebaiknya mereset perangkat untuk mencegah kebocoran informasi.

“Dilihat dari masalah yang diposting oleh petugas keamanan kali ini, kondisi fisik seperti menjaga perangkat dalam jarak tertentu atau membongkarnya diperlukan untuk mencapai cracking. Pengguna biasa dapat menghindari hal ini dengan mengatur ulang pengaturan mesin dan memeriksa status mesin tepat waktu selama gunakan.." kata seorang praktisi industri rumah tangga pintar saat berkomunikasi dengan wartawan.

Dalam tanggapan Ecovacs, lebih lanjut dinyatakan bahwa perusahaan menghormati kebiasaan para ahli keamanan dalam menemukan bahaya produk melalui penelitian dan berkomunikasi secara proaktif dengan perusahaan. Ecovacs Robotics percaya bahwa para pakar keamanan yang berinteraksi dengan perusahaan melalui latihan ofensif dan defensif serta merilis hasilnya dapat membantu meningkatkan keamanan produk.

Kurangnya standar industri

Menyortir peristiwa terkait rumah pintar dalam beberapa tahun terakhir, tidak jarang kita melihat perselisihan privasi karena kerentanan keamanan Selain robot penyapu, kamera rumah, kunci pintu pintar, dan perangkat lain yang tersambung ke Internet dengan gambar, sensor suara, dan perangkatnya sendiri. kemampuan penyimpanan secara teoritis tersedia. Risiko diretas dari jarak jauh yang mengakibatkan kebocoran informasi pribadi.

Di balik seringnya masalah keselamatan pada berbagai peralatan rumah pintar, di satu sisi, situasi konstruksi keselamatan perusahaan saat ini perlu lebih ditingkatkan, dan di sisi lain, juga masih kurangnya rincian peraturan di bidang terkait.

Mengambil contoh bidang robot penyapu, standar keselamatan umum saat ini yang terutama dirujuk di industri adalah "Persyaratan Keselamatan Umum untuk Robot Layanan Rumah Tangga dan Tujuan Serupa" (GB/T 41527-2022), tetapi standar ini hanya melibatkan tanda dan instruksi , stabilitas dan masalah keamanan mekanis pada tingkat fisik seperti bahaya, kekuatan mekanis, struktur, dll., namun tidak termasuk masalah keamanan yang terkait dengan sistem operasi perangkat itu sendiri dan informasi pribadi pengguna yang dikumpulkan.

Wu Jianping menunjukkan bahwa meskipun negara saya saat ini memiliki persyaratan peraturan dalam keamanan jaringan, desain dan manufaktur perangkat keras, dll., terdapat kekurangan standar subdivisi yang sesuai di bidang produk cerdas yang menggabungkan berbagai persyaratan keamanan dan perlindungan telah diperpanjang atas dasar ini.

Ambil contoh chip yang saat ini merupakan perangkat inti yang biasa digunakan pada perangkat keras pintar dalam negeri, untuk beberapa chip yang menggunakan chip asing atau solusi desain yang memanfaatkan ide asing, meskipun produsen dalam negeri telah menggunakan produk tersebut, namun belum mengikuti secara lengkap. serangkaian sistem dan proses pemeliharaan, yang membuat kerentanan sistem Linux yang mendasarinya tidak dapat diperbaiki untuk waktu yang lama.

Misalnya, penyedia layanan perangkat lunak bahasa pemrograman Java yang diakuisisi oleh Oracle akan mengontrol jenis perangkat keras apa yang dijalankan perangkat lunak dan sistem terkait, jenis protokol apa yang digunakan motherboard, dan kerentanan apa yang mungkin ada. Di satu sisi, hal ini memfasilitasi pemeliharaan pengisian daya berbasis langganan, dan di sisi lain, ini juga membantu memastikan keamanan perangkat lunak dan perangkat keras,” kata Wu Jianping.

Namun, selama proses pengembangan ekstensif oleh beberapa pabrikan Tiongkok di tahun-tahun awal, standar penggunaan perangkat lunak dan komponen sering kali adalah "selama dapat digunakan". Hal ini mengakibatkan banyak langkah manajemen keamanan pendukung yang gagal untuk dipatuhi waktu, dan produsen melewati perlindungan paten Metode tersebut memotong jalan bagi pihak ketiga untuk mendeteksi desain dan arsitektur perangkat keras mereka, dan tidak dapat memperoleh informasi versi perangkat keras mereka. Akibatnya, sebagian besar uji penetrasi keamanan jaringan sering kali berhenti di lapisan aplikasi dan gagal tenggelam ke lapisan perangkat keras.

Dalam hal ini, Wu Jianping lebih lanjut menyarankan bahwa di satu sisi, kita harus meningkatkan konstruksi standar industri yang relevan dan memberikan pengawasan atau pihak ketiga cara untuk memeriksa dan menguji keamanan produk perangkat keras pintar; juga memberikan prioritas untuk mengadopsi teknologi arsitektur dalam negeri untuk memfasilitasi pengawasan. Badan ini melakukan pengawasan dari daftar pembelian perusahaan untuk meningkatkan transparansi dan keandalan desain produk secara keseluruhan pada tingkat keamanan.