소식

최근 Ecovacs는 개인 정보 보호에 대한 질문에 직면했습니다. 두 명의 보안 연구원인 Dennis Giese와 Braelynn은 Def Con 보안 컨퍼런스에서 Ecovacs의 잔디 깎기 로봇과 청소 로봇의 보안 취약점을 공개했습니다.공격자들은 이러한 취약점을 이용해 기기에 내장된 카메라와 마이크를 악용해 사용자를 감시할 수 있다고 밝혔습니다.

AVC의 전체 데이터에 따르면 올해 상반기 청소 로봇은 전체 청소 기기의 41%를 차지해 청소 트랙에서 확고한 1위 자리를 차지하고 전년 대비 두 자릿수 매출 성장을 달성한 것으로 나타났습니다. -각각 18.8%, 11.9% 증가.

Ecovacs Robotics의 공식 웹사이트에 따르면 Ecovacs Robotics는 국제화 전략을 고수하고 심화하고 있으며 현재 독일, 미국, 일본에 판매 자회사를 성공적으로 설립했습니다.전 세계 80개 이상의 주요 국가 및 지역에 시장을 열었습니다. 2016년 Ecovacs는 중국 청소 로봇 판매 부문 1위 브랜드가 되었습니다.

Cobos 공식 홈페이지 스크린샷

"가전제품 회사가 제품 인텔리전스를 홍보할 때 인식, 계획 및 기술 아키텍처에서 사용자 개인 정보 보호 및 보안을 고려해야 합니다."가전업계 관찰자인 Ding 소장은 광저우일보 기자에게 이 과정에서 사용자 데이터가 과학적, 합리적으로 수집되어야 사용자에게 정보를 제공하고 동의할 수 있다고 지적했습니다. 이는 사용자의 지능적 경험을 근본적으로 향상시키지 않습니다. 너무 많은 것을 요구하지 마십시오. 자신의 기본 역량이 아직 완벽하지 않다면 전문적인 제3자 보안 데이터 회사를 소개하여 데이터 관련 보호 업무를 수행할 수 있습니다.

연구원: 130m 떨어진 곳에서도 제어 가능

카메라, 마이크 등에 접근할 수 있습니다.

서던 메트로폴리스 데일리에 따르면 해커들의 '월드컵'이자 '오스카'로 불리는 블랙햇 블랙햇 컨퍼런스와 데프콘 해커 컨퍼런스가 지난 주말 라스베이거스에서 열렸다. 보안 커뮤니티의 기술과 지식. 연구원들은 청소 로봇, 잔디 깍는 로봇, 공기 정화 로봇을 포함해 Ecovacs의 베스트셀러 장치 10개 이상을 분석했다고 밝혔습니다.

위 연구진은 에코백스 제품의 가장 큰 문제점은 허점이 있다는 점이라고 밝혔습니다.휴대폰을 사용하는 사람이라면 누구나 블루투스를 통해 최대 130미터(450피트) 떨어진 곳에서 Ecovacs 로봇을 연결하고 제어할 수 있습니다."페이로드를 보내면 기계에 다시 연결하는 데 1초밖에 걸리지 않습니다. 예를 들어 인터넷의 서버에 다시 연결할 수 있습니다. 거기에서 우리는 로봇을 원격으로 제어할 수 있습니다."라고 Denis Gies는 말합니다."우리는 Wi-Fi 자격 증명을 읽을 수 있고 모든 (저장된 방) 지도를 읽을 수 있으며 카메라, 마이크 등에 액세스할 수 있습니다."

위에서 언급한 연구원들은 잔디 깎는 로봇은 항상 블루투스를 켜는 반면, 청소 로봇은 켜면 20분 동안 블루투스를 활성화하고 하루에 한 번 자동으로 다시 시작하므로 청소 로봇은 해킹당하기가 더 어렵다고 말했습니다.대부분의 새로운 Ecovacs 로봇에는 적어도 하나의 카메라와 마이크가 장착되어 있으므로 해커가 손상된 로봇을 제어하면 이러한 청소 로봇은 "감시 도구"가 될 수 있습니다.또한 로봇에는 근처 사람들에게 카메라와 마이크가 켜져 있음을 알리는 하드웨어 조명이나 기타 조명이 없습니다.

21파이낸스에 따르면,"블루투스 보안은 항상 일반적인 보안 문제였습니다." Bangbang 보안 연구소 소장 Wu Jianping은 인터뷰에서 Bluetooth 페어링 키가 순전히 디지털 4자리 또는 6자리 비밀번호이기 때문에 현대 컴퓨터는 가능성이 10,000~100만 개에 불과할 때 이를 수행할 수 없다고 지적했습니다. . 몇 초 안에 성공적으로 해독될 수 있습니다.

이러한 기본 프로토콜 취약점에 대응하여 블루투스 회사는 2023년에 버전 5.4 업데이트를 출시했습니다. 이 업데이트는 짧은 시간 내에 액세스 횟수와 키 비교를 제한하여 블루투스 연결이 어느 정도 손상될 위험을 줄였습니다.

두 연구원은 블루투스 관련 취약점 외에도 Ecovacs 제품에서 다른 보안 문제도 발견했습니다.사용자 계정이 삭제되더라도 로봇 관련 데이터는 클라우드 서버에 계속 저장되며, 사용자의 신원 인증 토큰도 클라우드에 저장됩니다.이로 인해 관련 사용자가 계정을 삭제한 후에도 여전히 장치에 액세스할 수 있어 중고 기계를 구입하는 사용자의 개인 정보 보호 및 보안이 위험에 처할 수 있습니다.

Cobos는 이렇게 대답했습니다. 너무 걱정하지 마세요.

일반 사용자에게는 영향을 미치지 않습니다.

8월 13일 오후, '데일리 경제 뉴스' 기자가 Ecovos의 '데이터 보안 관련 질문에 대한 답변' 전화 회의에 참석했습니다. Ecovacs Greater China 홍보 이사 Ma Xianbin은 두 명의 경비원 Dennis Giese가 말했습니다. 그리고 Brian, 연구원들은 항상 중국 청소 로봇 회사의 제품 안전에 관심을 가져 왔으며 다른 국내 브랜드 제품에 대해서도 이에 상응하는 연구를 수행했습니다."두 연구원은 무선 및 임베디드 디바이스를 전공했습니다."

이번 사건의 배경은 보안 연구원 2명이 미국에서 열린 데프콘(Def Con) 보안 컨퍼런스에서 에코백스 장비 공격 방법을 시연하는 연설을 했다고 주장했지만 이들의 연설 영상은 아직 공개되지 않았다는 것이다. 위의 두 연구자가 만든 공격 경로와 기법에 대해,코보스는 지난해부터 기술적 개선을 진행해왔으며, 가능한 돌파구가 막혀 현재까지 두 보안 연구원이 원래 공개하려고 했던 콘텐츠는 공개되지 않았다.

에코백스는 상대방이 지적한 제품 문제는 '허점'이 아니라 업계가 직면한 공통적인 문제, 즉 일부 숨은 의도를 가진 사람들이 연결을 확인하는 과정에서 '허점을 이용할' 수 있다고 본다. 하지만,회사 제품과 물리적으로 접촉하지 않거나 제품과 가까운 거리에 있지 않으면 해독할 수 없습니다.또한 상대방은 개발된 공격 방법이 단일 기기에서 효과적이며 복제가 불가능하다고 주장합니다.

"그래서 우리는 제품을 구매하는 사용자들은 이 문제에 대해 걱정할 필요가 없다고 믿습니다. 적어도 지금 우리가 겪고 있는 상황은 일반 사용자에게 영향을 미치지 않을 것입니다."마현빈이 말했다.

또한 코보스는 회사가 제품 안전 보호 조치를 적극적으로 최적화해 왔다고 말했습니다. Ma Xianbin은 이러한 보호 조치 강화가 단일 사례나 단일 해커 또는 조직을 목표로 하는 것이 아니라 회사의 보안 조치를 공격자가 패턴을 발견하기 어렵게 만들어 불필요한 위험을 줄이기 위한 것이라고 말했습니다.

현재,Ecovacs가 사용하는 방법에는 다양한 인증서 검증, 보안 정책, 네트워크 하이재킹 대책, 원격 코드 실행 취약점에 대한 실시간 모니터링 및 업데이트, 타사 장치 간의 연결 건전성 등이 포함됩니다.Cobos는 끊임없이 방법과 방법을 변화시켜 왔습니다.

두 연구원이 공개한 "허점"에 대해 Ma Xianbin은 다음과 같이 믿습니다.이것은 기술적인 논의입니다. 어느 순간 상대방이 기기를 해킹할 수 있는 방법을 찾아냈습니다. 태도적으로 회사는 기술적인 논의에 국한된 질문을 환영합니다.

Ecovacs가 발표한 2023년 연례 보고서에 따르면,2023년 회사의 총 수익은 전년 대비 1.16% 증가한 155억 2천만 위안이 될 것입니다.상장회사 주주에게 귀속되는 순이익은 6억 1200만 위안으로 전년 대비 63.96% 감소했습니다. 안에,국내 영업수입은 89억8천만 위안으로 전년 대비 11.43% 감소했고, 해외 영업 수입은 65억2천200만 위안으로 전년 대비 25.76% 증가했다.

매일경제신문, 광저우일보, 남부도시일보, 21파이낸스, 미징닷컴 등이 종합적으로 자체 공개한 정보(청야 기자)