notizia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Recentemente, due ricercatori sulla sicurezza hanno affermato alla conferenza sulla sicurezza Def Con di aver scoperto problemi di sicurezza con i prodotti robot di spazzamento di Ecovacs. Dopo aver collegato il robot Ecovacs tramite Bluetooth, gli hacker possono utilizzare la connettività WiFi integrata nel prodotto, controllarlo da remoto e accedere alle mappe delle stanze. fotocamere, microfoni e altre funzionalità e informazioni nel suo sistema operativo.

In risposta alle questioni di cui sopra, Ecovacs ha affermato in un'intervista con i giornalisti di Southern Financial All-Media che la sicurezza dei dati e la privacy degli utenti sono una delle questioni a cui Ecovacs attribuisce maggiore importanza. Il Comitato per la sicurezza dei robot di Ecovacs ha discusso questioni come la connessione di rete e archiviazione dei dati dei prodotti. Dopo aver condotto ricerche e valutazioni interne, la conclusione raggiunta è che la probabilità che questi rischi per la sicurezza si verifichino nell'ambiente di utilizzo quotidiano dell'utente è estremamente bassa. Per essere completata, sono necessari strumenti di hacking professionali e uno stretto contatto con la macchina non devi preoccuparti di questo. Ciononostante, Ecovacs ottimizzerà in modo proattivo i suoi prodotti sulla base dei risultati della ricerca e delle revisioni.

I reporter di Southern Finance hanno scoperto che mentre l'Internet delle cose e gli elettrodomestici intelligenti si stanno sviluppando rapidamente, oltre ai robot spazzatori, anche i dispositivi emergenti per la casa intelligente come le serrature intelligenti e le telecamere domestiche hanno riscontrato numerosi problemi di privacy e sicurezza negli ultimi anni Tuttavia, i regolamenti e gli standard di suddivisione delle industrie correlate sono ancora assenti.

Come proteggere la sicurezza delle informazioni negli scenari di vita familiare che coinvolgono molte informazioni personali sulla privacy è ancora un problema che deve essere risolto con urgenza nel settore della casa intelligente.

Rischio di cracking remoto

Secondo due ricercatori di sicurezza Dennis Giese e Braelynn, il problema di sicurezza di Ecovacs risiede principalmente nella connessione Bluetooth. Gli hacker possono abbinare il dispositivo a un telefono cellulare entro un raggio di 450 piedi (circa 130 metri) e controllarlo , È possibile connettersi al server tramite la funzione di rete WiFi integrata del robot per ottenere il controllo remoto.

Attualmente, le misure preventive adottate dai robot spazzatori di Ecovacs prevedono l'attivazione del Bluetooth per 20 minuti dopo l'accensione e il riavvio automatico una volta al giorno. Tuttavia, il Bluetooth dei tosaerba del marchio è sempre attivo anche quando la fotocamera è acceso. Allo stesso tempo, il dispositivo riprodurrà un file audio ogni cinque minuti per ricordare agli utenti che il dispositivo è acceso, ma Dennis Giese ha affermato che gli hacker possono eliminare il file audio per mantenere nascosti i dispositivi crackati.

A questo proposito, Ecovacs ha dichiarato che utilizzerà mezzi tecnici per limitare l'accesso al secondo account, rafforzare la verifica secondaria delle connessioni reciproche tra dispositivi Bluetooth e aumentare la sicurezza delle connessioni Bluetooth aggiungendo operazioni fisiche per attivare le connessioni Bluetooth.

"La sicurezza Bluetooth è sempre stata un problema di sicurezza comune." Wu Jianping, capo del Bangbang Security Laboratory, ha sottolineato in un'intervista con i giornalisti di Southern Financial All-Media che, poiché la chiave di accoppiamento Bluetooth è puramente digitale a 4 o 6 cifre. password, In situazioni in cui ci sono solo 10.000 o 1.000.000 di possibilità, i computer moderni possono decifrarla con successo in pochi secondi.

Oltre alle vulnerabilità legate al Bluetooth, i due ricercatori hanno scoperto anche altri problemi di sicurezza con i prodotti Ecovacs. Hanno sottolineato che anche se l'account utente è stato cancellato, i dati relativi al robot rimarranno comunque salvati nel server cloud di autenticazione dell'identità dell'utente Il token viene inoltre archiviato nel cloud, il che potrebbe far sì che l'utente interessato possa ancora accedere al dispositivo dopo aver eliminato l'account, mettendo a rischio la sicurezza della privacy degli utenti che acquistano macchine di seconda mano.

Wu Jianping ha sottolineato che leggi e regolamenti come la "Legge sulla sicurezza dei dati della Repubblica popolare cinese" stabiliscono il periodo di conservazione dei dati dell'utente da parte dei produttori a condizioni specifiche. Di solito, quando un utente cancella il proprio account, il produttore deve solo distruggerlo i dati rilevanti entro il periodo corrispondente.

Tuttavia, nell’attuale pratica di supervisione dei dati, ad eccezione di alcune società coinvolte nell’attività di esportazione di dati, le autorità di regolamentazione nella maggior parte dei casi non controllano l’attuazione della distruzione dei dati rilevanti, il che rende la distruzione dei dati dipendente dalla coscienza dei produttori, intensificando così la rischio di perdita di dati dopo la violazione del server cloud.

Un giornalista di Southern Finance ha scoperto che nell'accordo sulla privacy di Ecovacs che supporta APP, si afferma che dopo che l'utente cancella l'account APP, il produttore "lo utilizzerà solo per il periodo necessario allo scopo indicato in questa politica e il tempo massimo consentito dalle leggi e dai regolamenti." Se le tue informazioni personali vengono conservate, le cancelleremo o le renderemo anonime in modo tempestivo se supera questo limite di tempo."

A questo proposito, Covacs ha affermato che aggiornerà il software del prodotto per rendere effettivo in tempo reale il meccanismo di invalidazione del token, aumentare la difficoltà di ottenere il token e cancellare le informazioni di registro dopo aver ripristinato il dispositivo per garantire la sicurezza dei dati. Inoltre, agli utenti verrà ricordato che se desiderano trasferire il dispositivo a un'altra persona, dovranno ripristinarlo per evitare perdite di informazioni.

"A giudicare dai problemi postati questa volta dal personale di sicurezza, per ottenere un crack sono necessarie condizioni fisiche come mantenere il dispositivo entro un certo raggio o smontarlo. Gli utenti comuni possono evitare questo ripristinando le impostazioni della macchina e controllando tempestivamente lo stato della macchina durante utilizzare. ", ha detto un professionista del settore della casa intelligente quando comunica con i giornalisti.

Nella risposta di Ecovacs, si afferma inoltre che l'azienda rispetta l'abitudine degli esperti di sicurezza di scoprire i pericoli dei prodotti attraverso la ricerca e di comunicare in modo proattivo con le imprese. Ecovacs Robotics ritiene che gli esperti di sicurezza che interagiscono con le imprese attraverso esercitazioni offensive e difensive e il rilascio dei risultati possano contribuire a migliorare la sicurezza dei prodotti.

Mancanza di standard di settore

Analizzando gli eventi legati alla casa intelligente negli ultimi anni, non è raro vedere controversie sulla privacy dovute a vulnerabilità della sicurezza Oltre a robot spazzatori, telecamere domestiche, serrature intelligenti e altri dispositivi connessi a Internet con la propria immagine, sensori sonori e. le capacità di archiviazione sono teoricamente disponibili. Il rischio di essere hackerati da remoto con conseguente fuga di informazioni personali.

Dietro i frequenti problemi di sicurezza di vari elettrodomestici intelligenti, da un lato, l'attuale situazione della costruzione della sicurezza aziendale deve essere ulteriormente migliorata e, dall'altro, c'è anche la mancanza di dettagli normativi nei settori correlati.

Prendendo come esempio il campo dei robot spazzatori, l'attuale standard di sicurezza generale a cui si fa riferimento principalmente nel settore è "Requisiti generali di sicurezza per robot di servizio domestici e per scopi simili" (GB/T 41527-2022), ma questo standard riguarda solo segnali e istruzioni , stabilità e problemi di sicurezza meccanica a livello fisico come pericolo, resistenza meccanica, struttura, ecc., ma non includono problemi di sicurezza relativi al sistema operativo del dispositivo stesso e alle informazioni personali dell'utente raccolte.

Wu Jianping ha sottolineato che, sebbene il mio paese abbia attualmente requisiti normativi in ​​materia di sicurezza della rete, progettazione e produzione di hardware, ecc., mancano standard di suddivisione corrispondenti nel campo dei prodotti intelligenti che combinano vari requisiti e garanzie di sicurezza sono stati estesi su questa base. Non c'è modo di parlarne.

Prendiamo ad esempio i chip, che sono attualmente i dispositivi principali comunemente utilizzati nell'hardware intelligente domestico. Per alcuni chip che utilizzano chip stranieri o soluzioni di progettazione che attingono a idee straniere, sebbene i produttori nazionali abbiano utilizzato i prodotti, non hanno seguito il loro completo. insieme di sistemi e processi di manutenzione, che rendono impossibile riparare la vulnerabilità del sistema Linux sottostante per un lungo periodo.

"Ad esempio, il fornitore di servizi software del linguaggio di programmazione Java acquisito da Oracle controllerà su quale tipo di hardware vengono eseguiti i software e i sistemi in questione, che tipo di protocollo utilizza la scheda madre e quali vulnerabilità possono esistere. Da un lato, facilita il mantenimento della tariffazione basata su abbonamento e, dall’altro, aiuta anche a garantire la sicurezza del software e dell’hardware”, ha affermato Wu Jianping.

Tuttavia, durante l'ampio processo di sviluppo di alcuni produttori cinesi nei primi anni, lo standard per l'utilizzo di software e componenti era spesso "finché può essere utilizzato". Ciò ha fatto sì che molte misure di supporto alla gestione della sicurezza non riuscissero a tenere il passo tempo e i produttori hanno approvato la protezione dei brevetti. Tali metodi impediscono a terzi di rilevare la progettazione e l'architettura del loro hardware e non possono ottenere informazioni sulla versione dell'hardware. Di conseguenza, la maggior parte dei test di penetrazione della sicurezza di rete spesso si fermano al livello dell'applicazione e non riescono a farlo sprofondare nel livello hardware.

A questo proposito, Wu Jianping ha inoltre suggerito che, da un lato, dovremmo migliorare la costruzione degli standard di settore pertinenti e, dall’altro, i produttori cinesi possono farlo dare inoltre priorità all'adozione della tecnologia dell'architettura nazionale per facilitare la supervisione. L'agenzia effettua la supervisione dalla lista degli acquisti dell'azienda per migliorare la trasparenza e l'affidabilità della progettazione complessiva del prodotto a livello di sicurezza.