ニュース

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

最近、2 人のセキュリティ研究者が、Ecovacs の掃除ロボット製品にセキュリティ上の問題があることを発見したと発表しました。Bluetooth 経由で Ecovacs ロボットに接続すると、ハッカーは製品の内蔵 WiFi 接続を使用して、リモート制御や部屋へのアクセスが可能になります。オペレーティング システム内のマップ、カメラ、マイク、その他の機能と情報。

上記の問題に対応して、Ecovacs はSouthern Financial All-Media 記者とのインタビューで、Ecovacs ロボット安全委員会がネットワーク接続やネットワーク接続などの問題について議論してきた問題の 1 つは、データ セキュリティとユーザーのプライバシーであると述べました。製品のデータ保存を完了するには、専門的なハッキング ツールとマシンへの密接な接触が必要であるため、ユーザーの日常使用環境でこれらのセキュリティ リスクが発生する可能性は非常に低いという結論に達しました。心配する必要はありません。それにもかかわらず、Ecovacs は調査とレビューの結果に基づいて製品を積極的に最適化します。

サザン・ファイナンスのオールメディア記者は、モノのインターネットとスマート家電が急速に発展している一方で、掃除ロボットに加えて、スマートドアロックやホームカメラなどの新興スマートホームデバイスも近年、複数のプライバシーとセキュリティの問題に直面していることを発見した。しかし、関連業界の細分類の規制や基準はまだ存在しません。

多くの個人プライバシー情報が関係する家庭生活のシナリオにおいて情報セキュリティをどのように保護するかは、スマートホーム業界において依然として解決が必要な緊急の課題です。

遠隔クラッキングのリスク

セキュリティ研究者のデニス・ギース氏とブレイリン氏によると、エコバックスのセキュリティ問題は主にBluetooth接続にあり、ハッカーは450フィート（約130メートル）の範囲内でデバイスと携帯電話を照合し、一度制御できるようになるという。 , ロボットの内蔵WiFiネットワーク機能を介してサーバーに接続し、遠隔制御を実現できます。

現在、Ecovacs の掃除ロボット機器の予防措置は、電源を入れてから 20 分間 Bluetooth を有効にし、1 日に 1 回自動的に再起動することですが、このブランドの芝刈り機の Bluetooth はさらに、カメラがオンになっているときは常にオンになります。同時に、デバイスは 5 分ごとに音声ファイルを再生して、デバイスがオンになっていることをユーザーに思い出させますが、デニス・ギース氏は、ハッカーがクラックされたデバイスの隠蔽を維持するために音声ファイルを削除する可能性があると述べました。

これに関してエコバックスは、技術的手段を用いて2番目のアカウントログインを制限し、Bluetoothデバイス間の相互接続の2次検証を強化し、Bluetooth接続をトリガーする物理的な操作を追加することでBluetooth接続のセキュリティを強化すると述べた。

「Bluetooth のセキュリティは常に一般的なセキュリティ問題です。」と、Southern Financial All-Media 記者とのインタビューで、Bluetooth のペアリング キーは純粋にデジタルの 4 桁または 6 桁であると指摘しました。パスワードの可能性が 10,000 または 1,000,000 しかない状況でも、最新のコンピューターは数秒でパスワードを解読できます。

Bluetooth 関連の脆弱性に加えて、2 人の研究者は、Ecovacs 製品に関する他のセキュリティ問題も発見しました。ユーザー アカウントが削除された場合でも、ロボットの関連データはクラウド サーバーに保存されたままであると指摘しました。トークンはクラウドにも保存されるため、アカウントを削除した後も該当するユーザーが引き続きデバイスにアクセスできる可能性があり、中古マシンを購入するユーザーのプライバシーのセキュリティが危険にさらされることになります。

呉建平氏は、「中華人民共和国データ保護法」などの法令では、メーカーによる特定の条件下でのユーザーデータの保管期間が規定されており、通常、ユーザーがアカウントを削除する場合、メーカーは破棄するだけで済むと指摘した。対応する期間内の関連データ。

しかし、現状のデータ監督実務では、一部のデータ輸出ビジネスを行う企業を除き、規制当局が当該データ破棄の実施を厳しく監視していないことが多く、メーカーの意識に頼ったデータ破棄となっており、データ破壊がますます厳しくなっています。クラウドサーバーが侵害された後のデータ漏洩のリスク。

サザン・ファイナンスのオールメディア記者は、APPをサポートするEcovacsのプライバシー契約に、ユーザーがAPPアカウントをキャンセルした後、メーカーは「このポリシーに記載されている目的に必要な期間のみそれを使用する」と記載されていることを発見しました。 「お客様の個人情報が保持されている場合、この期限を超えた場合には、適時に削除または匿名化します。」

これに関してCovacsは、トークン無効化メカニズムをリアルタイムで有効にし、トークンの取得の難易度を高め、データのセキュリティを確保するためにデバイスをリセットした後にログ情報をクリアするために製品ソフトウェアを更新すると述べた。さらに、デバイスを他人に譲渡する場合は、情報漏洩を防ぐためにデバイスをリセットする必要があることをユーザーに注意喚起します。

「今回セキュリティ担当者が投稿した問題から判断すると、クラックを達成するには、デバイスを一定の範囲内に保管するか、分解するなどの物理的条件が必要です。一般のユーザーは、マシンの設定をリセットしたり、マシンの状態を適時に確認するなどすることで、これを回避できます。」 」 スマートホーム業界の専門家は記者とのやりとりでこう語った。

Ecovacs の回答では、同社はさらに、調査を通じて製品のリスクを発見し、企業と積極的にコミュニケーションをとるというセキュリティ専門家の習慣を尊重していると述べました。 Ecovacs Robotics は、セキュリティ専門家が攻撃的および防御的な訓練や結果の公開を通じて企業と対話することで、製品の安全性の向上に役立つと考えています。

業界標準の欠如

近年のスマート ホーム関連のイベントを整理すると、掃除ロボット、家庭用カメラ、スマート ドア ロック、および独自の画像センサーや音声センサーを備えたその他のインターネット接続デバイスに加えて、セキュリティの脆弱性が原因でプライバシーに関する紛争が発生することも珍しくありません。理論的にはストレージ機能が利用可能であり、リモートからハッキングされて個人情報が漏洩するリスクがあります。

さまざまなスマート家電製品の安全性問題が頻繁に発生する背景には、企業の安全構築の現状をさらに改善する必要がある一方で、関連分野における規制の詳細が不足していることもあります。

掃除ロボットの分野を例に挙げると、業界で主に参照されている現在の一般安全規格は「家庭用および類似の用途のサービスロボットの一般安全要件」(GB/T 41527-2022)ですが、この規格には標識と指示のみが含まれています。 、安定性および機械的危険性、機械的強度、構造などの物理的レベルでの安全性の問題は含まれませんが、デバイス自体のオペレーティング システムや収集されたユーザーの個人情報に関連するセキュリティ上の問題は含まれません。

Wu Jianping 氏は、我が国には現在、ネットワーク セキュリティ、ハードウェアの設計と製造などに関する規制要件があるものの、ソフトウェアとハ​​ードウェアを組み合わせたインテリジェント製品の分野では、さまざまなセキュリティ要件と保護手段を備えた対応する細分化基準が不足していると指摘しました。これに基づいて拡張されました。

現在、国内のスマートハードウェアで一般的に使用されているコアデバイスであるチップを例に挙げると、海外のチップを使用したり、海外のアイデアを取り入れたソリューションを設計したりするチップについては、国内メーカーが製品を使用しているものの、その製品を完全に踏襲しているわけではありません。一連のメンテナンス システムとプロセスにより、基盤となる Linux システムの脆弱性が長期間修復できなくなります。

「たとえば、Oracle が買収した Java プログラミング言語ソフトウェア サービス プロバイダーは、関連するソフトウェアやシステムがどの種類のハードウェアで実行されるか、マザーボードが使用するプロトコルの種類、および存在する可能性のある脆弱性を管理します。一方で、それは、サブスクリプションベースの充電の維持だけでなく、その一方で、ソフトウェアとハ​​ードウェアのセキュリティの確保にも役立ちます」と呉建平氏は述べた。

しかし、一部の中国メーカーの初期の大規模な開発プロセスでは、ソフトウェアとコンポーネントの使用基準が「使用できる限り」であることが多く、その結果、サポートするセキュリティ管理手段の多くが対応できていませんでした。このような方法では、サードパーティがハードウェアの設計とアーキテクチャを検出する方法が遮断され、ハードウェアのバージョン情報を取得できなくなります。その結果、ほとんどのネットワーク セキュリティ侵入テストはアプリケーション層で停止し、失敗することがよくあります。ハードウェア層に沈みます。

この点に関して、呉建平氏はさらに、関連する業界標準の構築を改善し、スマートハードウェア製品の安全性を検査およびテストする方法を監督または第三者に提供すべきであると提案した。また、監督を容易にするために国内の建築技術の採用を優先し、製品全体の安全レベルでの設計の透明性と信頼性を向上させるために、企業の購入リストに基づいて監督を実施します。