новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Недавно два исследователя безопасности заявили на конференции по безопасности Def Con, что они обнаружили проблемы безопасности в роботизированных продуктах Ecovacs. После подключения робота Ecovacs через Bluetooth хакеры могут использовать встроенный в продукт модуль Wi-Fi. Соединение позволяет удаленно управлять им и получать доступ к картам помещений. камеры, микрофоны и другие функции и информация в его операционной системе.

В ответ на вышеупомянутые вопросы Ecovacs заявил в интервью журналистам Southern Financial All-Media, что безопасность данных и конфиденциальность пользователей являются одними из вопросов, которым Ecovacs придает наибольшее значение. Комитет по безопасности роботов Ecovacs обсуждал такие вопросы, как сетевое соединение и безопасность роботов. хранение данных продуктов. После проведения внутреннего исследования и оценки был сделан вывод, что вероятность возникновения этих угроз безопасности в среде повседневного использования пользователя чрезвычайно низка. Для этого требуются профессиональные инструменты взлома и тесный контакт с машиной, поэтому пользователи. не нужно об этом беспокоиться. Тем не менее, Ecovacs будет активно оптимизировать свою продукцию на основе результатов исследований и обзоров.

Репортеры Southern Finance обнаружили, что в то время как Интернет вещей и интеллектуальная бытовая техника быстро развиваются, помимо роботов, новые устройства для умного дома, такие как умные дверные замки и домашние камеры, в последние годы также сталкиваются с многочисленными проблемами конфиденциальности и безопасности. Однако положения и стандарты смежных отраслей до сих пор отсутствуют.

Как защитить информационную безопасность в сценариях семейной жизни, которые включают большое количество личной информации, по-прежнему остается проблемой, которую необходимо срочно решить в индустрии умного дома.

Риск удаленного взлома

По словам двух исследователей безопасности Денниса Гизе и Брелинна, проблема безопасности Ecovacs в основном заключается в Bluetooth-соединении. Хакеры могут сопоставить устройство с мобильным телефоном в радиусе 450 футов (около 130 метров) и контролировать его, как только будет достигнут контроль. , Вы можете подключиться к серверу через встроенную сетевую функцию Wi-Fi робота для дистанционного управления.

В настоящее время профилактические меры, принимаемые подметальным роботом Ecovacs, заключаются в включении Bluetooth на 20 минут после включения и автоматическом перезапуске один раз в день. Однако Bluetooth газонокосилок этой марки всегда включается, когда камера; В то же время устройство будет воспроизводить аудиофайл каждые пять минут, чтобы напомнить пользователям, что устройство включено, но Деннис Гиз сказал, что хакеры могут удалить аудиофайл, чтобы сохранить сокрытие взломанных устройств.

В связи с этим Ecovacs заявила, что будет использовать технические средства для ограничения входа в вторую учетную запись, усиления вторичной проверки взаимных соединений между устройствами Bluetooth и повышения безопасности соединений Bluetooth за счет добавления физических операций для запуска соединений Bluetooth.

«Безопасность Bluetooth всегда была общей проблемой безопасности», — отметил в интервью журналистам Southern Financial All-Media Ву Цзяньпин, руководитель лаборатории безопасности Bangbang, поскольку ключ сопряжения Bluetooth представляет собой чисто цифровой 4-значный или 6-значный код. пароль. В ситуациях, когда возможностей всего 10 000 или 1 000 000, современные компьютеры могут успешно расшифровать его за несколько секунд.

Помимо уязвимостей, связанных с Bluetooth, два исследователя также обнаружили другие проблемы безопасности в продуктах Ecovacs. Они отметили, что даже если учетная запись пользователя была удалена, соответствующие данные робота все равно будут сохранены на облачном сервере аутентификации личности. Токен также хранится в облаке, что может привести к тому, что соответствующий пользователь по-прежнему сможет получить доступ к устройству после удаления учетной записи, что ставит под угрозу безопасность конфиденциальности пользователей, покупающих подержанные машины.

У Цзяньпин отметил, что законы и постановления, такие как «Закон о безопасности данных Китайской Народной Республики», предусматривают период хранения пользовательских данных производителями при определенных условиях. Обычно, когда пользователь удаляет свою учетную запись, производителю необходимо только уничтожить. соответствующие данные в течение соответствующего периода.

Однако в существующей практике надзора за данными, за исключением некоторых компаний, занимающихся экспортом данных, регулирующие органы в большинстве случаев не проверяют реализацию соответствующего уничтожения данных, что делает уничтожение данных зависимым от сознательности производителей, тем самым усиливая это. риск утечки данных после взлома облачного сервера.

Репортер всех СМИ из Southern Finance обнаружил, что в соглашении о конфиденциальности Ecovacs, поддерживающем приложение, указано, что после того, как пользователь закроет учетную запись приложения, производитель «будет использовать его только в течение периода, необходимого для целей, указанных в этой политике». и максимальное время, разрешенное законами и постановлениями». Если ваша личная информация будет сохранена, мы своевременно удалим ее или анонимизируем, если она превысит этот срок».

В связи с этим Covacs заявил, что обновит программное обеспечение продукта, чтобы в реальном времени вступил в силу механизм аннулирования токена, увеличит сложность получения токена и очистит информацию журнала после перезагрузки устройства для обеспечения безопасности данных. Кроме того, пользователям напомнят, что если они хотят передать устройство другому человеку, им следует перезагрузить устройство, чтобы предотвратить утечку информации.

«Судя по проблемам, опубликованным сотрудниками службы безопасности на этот раз, для взлома необходимы физические условия, такие как удержание устройства в определенном диапазоне или его разборка. Обычные пользователи могут избежать этого, сбросив настройки машины и своевременно проверив состояние машины во время использования.» — сказал специалист в сфере умного дома в общении с журналистами.

В ответе Ecovacs далее говорится, что компания уважает привычку экспертов по безопасности выявлять опасности продукта посредством исследований и активно общаться с предприятиями. Ecovacs Robotics считает, что эксперты по безопасности, взаимодействующие с предприятиями посредством наступательных и оборонительных учений и публикации результатов, могут помочь повысить безопасность продукции.

Отсутствие отраслевых стандартов

В последние годы, разбирая события, связанные с умным домом, нередко можно увидеть споры о конфиденциальности из-за уязвимостей безопасности, помимо подметающих роботов, домашних камер, умных дверных замков и других подключенных к Интернету устройств с собственными датчиками изображения, звука и т. д. возможности хранения теоретически доступны. Риск удаленного взлома, приводящего к утечке личной информации.

Несмотря на частые проблемы с безопасностью различных интеллектуальных бытовых приборов, с одной стороны, текущая ситуация в области обеспечения безопасности предприятий нуждается в дальнейшем улучшении, а с другой стороны, также наблюдается отсутствие нормативных деталей в смежных областях.

Если взять в качестве примера подметальные роботы, то текущий общий стандарт безопасности, на который в основном ссылаются в отрасли, — это «Общие требования безопасности для бытовых и сервисных роботов аналогичного назначения» (GB/T 41527-2022), но этот стандарт включает только знаки и инструкции. , стабильность и механическая безопасность. Проблемы безопасности на физическом уровне, такие как опасность, механическая прочность, структура и т. д., но не включают проблемы безопасности, связанные с операционной системой самого устройства и собранной личной информацией пользователя.

У Цзяньпин отметил, что, хотя в моей стране в настоящее время действуют нормативные требования в области сетевой безопасности, проектирования и производства оборудования и т. д., в области интеллектуальных продуктов, сочетающих в себе программное и аппаратное обеспечение, отсутствуют соответствующие стандарты безопасности и меры безопасности. были продлены на этом основании. Об этом говорить невозможно.

Возьмем в качестве примера чипы, которые в настоящее время являются основными устройствами, обычно используемыми в отечественном интеллектуальном оборудовании. Для некоторых чипов, в которых используются зарубежные чипы или конструктивные решения, основанные на иностранных идеях, хотя отечественные производители использовали эти продукты, они не следовали им в полной мере. набор систем и процессов обслуживания, из-за которых уязвимость базовой системы Linux не может быть устранена в течение длительного времени.

«Например, поставщик услуг программного обеспечения на языке программирования Java, приобретенный Oracle, будет контролировать, на каком типе оборудования работает соответствующее программное обеспечение и системы, какой тип протокола использует материнская плата и какие уязвимости могут существовать. С одной стороны, это облегчает поддержание взимания платы по подписке, а с другой стороны, это также помогает обеспечить безопасность программного и аппаратного обеспечения», — сказал У Цзяньпин.

Однако в первые годы интенсивного процесса разработки некоторых китайских производителей стандарт использования программного обеспечения и компонентов часто был «до тех пор, пока его можно использовать». Это приводило к тому, что многие вспомогательные меры управления безопасностью не соответствовали требованиям. время, и производители прошли патентную защиту. Такие методы лишают третьих лиц возможности определить конструкцию и архитектуру их оборудования и не могут получить информацию о версии их оборудования. В результате большинство тестов на проникновение в сетевую безопасность часто останавливаются на уровне приложений и не дают результатов. опуститься на аппаратный уровень.

В этой связи У Цзяньпин далее предположил, что, с одной стороны, мы должны улучшить разработку соответствующих отраслевых стандартов и предоставить надзору или третьим лицам возможность проверять и проверять безопасность интеллектуальных аппаратных продуктов, с другой стороны, китайские производители могут; также отдавать приоритет внедрению отечественных архитектурных технологий для облегчения контроля. Агентство осуществляет надзор за списком закупок компании, чтобы повысить прозрачность и надежность общей конструкции продукта на уровне безопасности.