notícias

O robô varredor é uma ferramenta de voyeur? Ecovacs: fortalecerá a segurança da conexão Bluetooth

2024-08-14

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Recentemente, dois pesquisadores de segurança disseram na conferência de segurança Def Con que descobriram problemas de segurança com os produtos robóticos de varredura da Ecovacs. Depois de conectar-se ao robô Ecovacs via Bluetooth, os hackers podem usar a conectividade WiFi integrada do produto, que permite controle remoto e acesso à sala. mapas, câmeras, microfones e outros recursos e informações em seu sistema operacional.

Em resposta às questões acima, a Ecovacs disse em uma entrevista aos repórteres da Southern Financial All-Media que a segurança dos dados e a privacidade do usuário são uma das questões às quais a Ecovacs atribui mais importância. O Comitê de Segurança de Robôs da Ecovacs discutiu questões como conexão de rede e. armazenamento de dados de produtos. Após realizar pesquisas e avaliações internas, a conclusão alcançada é que a probabilidade desses riscos de segurança ocorrerem no ambiente de uso diário do usuário é extremamente baixa. Requer ferramentas de hacking profissionais e contato próximo com a máquina para ser concluído, portanto, os usuários. não precisa se preocupar com isso. No entanto, a Ecovacs otimizará proativamente os seus produtos com base em resultados de pesquisas e análises.

Os repórteres de toda a mídia da Southern Finance descobriram que, embora a Internet das Coisas e os eletrodomésticos inteligentes estejam se desenvolvendo rapidamente, além dos robôs de varredura, os dispositivos domésticos inteligentes emergentes, como fechaduras inteligentes e câmeras domésticas, também enfrentaram vários problemas de privacidade e segurança nos últimos anos. No entanto, os regulamentos e padrões de subdivisão das indústrias relacionadas ainda estão ausentes.

Como proteger a segurança da informação em cenários de vida familiar que envolvem muitas informações de privacidade pessoal ainda é uma questão urgente na indústria de casa inteligente que precisa ser resolvida.


Risco de cracking remoto

De acordo com dois pesquisadores de segurança, Dennis Giese e Braelynn, o problema de segurança do Ecovacs reside principalmente na conexão Bluetooth. Os hackers podem combinar o dispositivo com um telefone celular dentro de um alcance de 450 pés (cerca de 130 metros) e controlá-lo. , Você pode se conectar ao servidor por meio da função de rede WiFi integrada do robô para obter controle remoto.

Atualmente, as medidas preventivas tomadas pelos equipamentos robóticos de varredura da Ecovacs são ativar o Bluetooth por 20 minutos após serem ligados e reiniciar automaticamente uma vez por dia. Porém, o Bluetooth dos cortadores de grama da marca está sempre ligado, quando a câmera. está ligado Ao mesmo tempo, o dispositivo reproduzirá um arquivo de áudio a cada cinco minutos para lembrar aos usuários que o dispositivo está ligado, mas Dennis Giese disse que os hackers podem excluir o arquivo de áudio para manter a ocultação dos dispositivos crackeados.

A este respeito, a Ecovacs afirmou que utilizará meios técnicos para restringir o login da segunda conta, fortalecer a verificação secundária de conexões mútuas entre dispositivos Bluetooth e aumentar a segurança das conexões Bluetooth adicionando operações físicas para acionar conexões Bluetooth.

"A segurança do Bluetooth sempre foi um problema de segurança comum." Wu Jianping, chefe do Laboratório de Segurança Bangbang, apontou em uma entrevista aos repórteres da Southern Financial All-Media que, uma vez que a chave de emparelhamento Bluetooth é puramente digital de 4 ou 6 dígitos. senha, em situações onde existem apenas 10.000 ou 1.000.000 possibilidades, os computadores modernos podem decifrá-la com sucesso em poucos segundos.

Além das vulnerabilidades relacionadas ao Bluetooth, os dois pesquisadores também descobriram outros problemas de segurança com os produtos Ecovacs. Eles apontaram que mesmo que a conta do usuário tenha sido excluída, os dados relacionados ao robô ainda serão salvos no servidor em nuvem. O token também é armazenado na nuvem, o que pode fazer com que o usuário relevante ainda consiga acessar o dispositivo após excluir a conta, colocando em risco a segurança da privacidade dos usuários que compram máquinas usadas.

Wu Jianping destacou que leis e regulamentos como a "Lei de Segurança de Dados da República Popular da China" estipulam o período de armazenamento dos dados do usuário pelos fabricantes sob condições específicas. Normalmente, quando um usuário exclui sua conta, o fabricante só precisa destruí-la. os dados relevantes dentro do período correspondente.

No entanto, na prática actual de supervisão de dados, excepto para algumas empresas envolvidas no negócio de exportação de dados, as autoridades reguladoras na maioria dos casos não examinam minuciosamente a implementação da destruição de dados relevante, o que torna a destruição de dados dependente da consciência dos fabricantes, intensificando assim. risco de vazamento de dados após a violação do servidor em nuvem.

Um repórter de toda a mídia da Southern Finance descobriu que no acordo de privacidade do Ecovacs que apoia o APP, afirmava que após o usuário cancelar a conta do APP, o fabricante "apenas a utilizará pelo período necessário para a finalidade declarada nesta política e o tempo máximo permitido pelas leis e regulamentos." Se suas informações pessoais forem retidas, iremos excluí-las ou anonimizá-las em tempo hábil se excederem esse limite de tempo."

Nesse sentido, a Covacs disse que atualizará o software do produto para que o mecanismo de invalidação do token entre em vigor em tempo real, aumentará a dificuldade de obtenção do token e limpará as informações de log após reiniciar o dispositivo para garantir a segurança dos dados. Além disso, os usuários serão lembrados de que, caso desejem transferir o dispositivo para outra pessoa, deverão reiniciar o dispositivo para evitar vazamento de informações.

"A julgar pelos problemas postados pelo pessoal de segurança desta vez, condições físicas, como manter o dispositivo dentro de um determinado intervalo ou desmontá-lo, são necessárias para conseguir a quebra. Os usuários comuns podem evitar isso redefinindo as configurações da máquina, verificando o status da máquina a tempo, etc. ." Um profissional da indústria doméstica inteligente disse ao se comunicar com os repórteres.

Na resposta da Ecovacs, afirmou ainda que a empresa respeita o hábito dos especialistas em segurança de descobrir riscos de produtos através de pesquisas e de comunicar proativamente com as empresas. A Ecovacs Robotics acredita que os especialistas em segurança que interagem com as empresas através de exercícios ofensivos e defensivos e da divulgação de resultados podem ajudar a melhorar a segurança dos produtos.


Falta de padrões da indústria

Analisando eventos relacionados a residências inteligentes nos últimos anos, não é incomum ver disputas de privacidade devido a vulnerabilidades de segurança, além de robôs de varredura, câmeras domésticas, fechaduras inteligentes e outros dispositivos conectados à Internet com imagem própria, sensores de som e. recursos de armazenamento estão teoricamente disponíveis. O risco de ser hackeado remotamente, resultando no vazamento de informações pessoais.

Por trás dos frequentes problemas de segurança de vários eletrodomésticos inteligentes, por um lado, a situação atual da construção de segurança empresarial precisa ser melhorada e, por outro lado, há também a falta de detalhes regulatórios em áreas relacionadas.

Tomando o campo de robôs de varredura como exemplo, o atual padrão geral de segurança referenciado principalmente na indústria é "Requisitos Gerais de Segurança para Robôs de Serviços Domésticos e de Fins Semelhantes" (GB/T 41527-2022), mas este padrão envolve apenas sinais e instruções , estabilidade e questões mecânicas de segurança no nível físico, como perigo, resistência mecânica, estrutura, etc., mas não incluem questões de segurança relacionadas ao sistema operacional do próprio dispositivo e às informações pessoais coletadas do usuário.

Wu Jianping destacou que embora meu país tenha atualmente requisitos regulatórios em segurança de rede, projeto e fabricação de hardware, etc., há uma falta de padrões de subdivisão correspondentes na área de produtos inteligentes que combinem vários requisitos e salvaguardas de segurança. foram ampliados nesta base. Não há como falar sobre isso.

Tomemos como exemplo os chips, que atualmente são os principais dispositivos comumente usados ​​​​em hardware inteligente doméstico. Para alguns chips que usam chips estrangeiros ou soluções de design que se baseiam em ideias estrangeiras, embora os fabricantes nacionais tenham usado os produtos, eles não seguiram sua completa. conjunto de sistemas e processos de manutenção, o que torna a vulnerabilidade do sistema Linux subjacente incapaz de ser reparada por um longo tempo.

"Por exemplo, o provedor de serviços de software de linguagem de programação Java adquirido pela Oracle controlará em que tipo de hardware o software e os sistemas relevantes são executados, que tipo de protocolo a placa-mãe usa e quais vulnerabilidades podem existir. Por um lado, facilita o manutenção da cobrança baseada em assinatura e, por outro lado, também ajuda a garantir a segurança de software e hardware”, disse Wu Jianping.

No entanto, durante o extenso processo de desenvolvimento de alguns fabricantes chineses nos primeiros anos, o padrão para o uso de software e componentes era muitas vezes "desde que pudesse ser usado". Isso resultou na falha de muitas medidas de apoio ao gerenciamento de segurança. tempo, e os fabricantes passaram pela proteção de patentes. Esses métodos impedem que terceiros detectem seu design e arquitetura de hardware e não conseguem obter informações sobre a versão do hardware. Como resultado, a maioria dos testes de penetração de segurança de rede geralmente param na camada de aplicativo e não conseguem. afundar na camada de hardware.

A este respeito, Wu Jianping sugeriu ainda que, por um lado, deveríamos melhorar a construção de padrões industriais relevantes e dar à supervisão ou a terceiros uma forma de inspecionar e testar a segurança dos produtos de hardware inteligentes; por outro lado, os fabricantes chineses podem; também dá prioridade à adoção de tecnologias de arquitetura nacionais para facilitar a supervisão. A agência realiza a supervisão a partir da lista de compras da empresa para melhorar a transparência e a confiabilidade do design geral do produto no nível de segurança.