noticias

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Recientemente, dos investigadores de seguridad dijeron en la conferencia de seguridad Def Con que descubrieron problemas de seguridad con los productos robóticos de barrido de Ecovacs. Después de conectar el robot Ecovacs a través de Bluetooth, los piratas informáticos pueden usar la conectividad WiFi incorporada del producto, controlarlo de forma remota y acceder a mapas de habitaciones. cámaras, micrófonos y otras características e información en su sistema operativo.

En respuesta a las cuestiones anteriores, Ecovacs dijo en una entrevista con los periodistas de Southern Financial All-Media que la seguridad de los datos y la privacidad del usuario son uno de los temas a los que Ecovacs concede más importancia. El Comité de Seguridad de Robots de Ecovacs ha discutido cuestiones como la conexión de red y. Almacenamiento de datos de productos Después de realizar investigaciones y evaluaciones internas, la conclusión a la que se llegó es que la probabilidad de que estos riesgos de seguridad ocurran en el entorno de uso diario del usuario es extremadamente baja, por lo que se requieren herramientas de piratería profesionales y un contacto cercano con la máquina. No necesitas preocuparte por eso. No obstante, Ecovacs optimizará proactivamente sus productos en función de los resultados de investigaciones y revisiones.

Los reporteros de todos los medios de Southern Finance descubrieron que, si bien el Internet de las cosas y los electrodomésticos inteligentes se están desarrollando rápidamente, además de los robots de barrido, los dispositivos domésticos inteligentes emergentes, como cerraduras de puertas inteligentes y cámaras domésticas, también han experimentado múltiples problemas de privacidad y seguridad en los últimos años. Sin embargo, aún no existen regulaciones y normas de subdivisión de industrias relacionadas.

Cómo proteger la seguridad de la información en escenarios de la vida familiar que involucran mucha información de privacidad personal sigue siendo un problema que debe resolverse con urgencia en la industria del hogar inteligente.

Riesgo de cracking remoto

Según dos investigadores de seguridad, Dennis Giese y Braelynn, el problema de seguridad de Ecovacs radica principalmente en la conexión Bluetooth. Los piratas informáticos pueden conectar el dispositivo con un teléfono móvil dentro de un rango de 450 pies (unos 130 metros) y controlarlo una vez logrado el control. Puede conectarse al servidor a través de la función de red WiFi incorporada del robot para lograr el control remoto.

Actualmente, las medidas preventivas que toman los equipos robot barredores de Ecovacs son habilitar el Bluetooth durante 20 minutos después de su encendido y reiniciarse automáticamente una vez al día, sin embargo, el Bluetooth de los cortacésped de la marca siempre está encendido además, cuando la cámara; está encendido Al mismo tiempo, el dispositivo reproducirá un archivo de audio cada cinco minutos para recordar a los usuarios que el dispositivo está encendido, pero Dennis Giese dijo que los piratas informáticos pueden eliminar el archivo de audio para mantener el ocultamiento de los dispositivos pirateados.

En este sentido, Ecovacs afirmó que utilizará medios técnicos para restringir el inicio de sesión de una segunda cuenta, fortalecer la verificación secundaria de conexiones mutuas entre dispositivos Bluetooth y aumentar la seguridad de las conexiones Bluetooth agregando operaciones físicas para activar conexiones Bluetooth.

"La seguridad de Bluetooth siempre ha sido un problema de seguridad común". Wu Jianping, director del Laboratorio de Seguridad de Bangbang, señaló en una entrevista con los periodistas de Southern Financial All-Media que, dado que la clave de emparejamiento de Bluetooth es puramente digital de 4 o 6 dígitos, contraseña, en situaciones donde sólo hay 10.000 o 1.000.000 de posibilidades, las computadoras modernas pueden descifrarla con éxito en unos pocos segundos.

Además de las vulnerabilidades relacionadas con Bluetooth, los dos investigadores también descubrieron otros problemas de seguridad con los productos Ecovacs. Señalaron que incluso si se elimina la cuenta del usuario, los datos relacionados con el robot aún se guardarán en el servidor de autenticación de identidad del usuario en la nube; El token también se almacena en la nube, lo que puede dar como resultado que el usuario relevante aún pueda acceder al dispositivo después de eliminar la cuenta, poniendo en riesgo la seguridad de la privacidad de los usuarios que compran máquinas de segunda mano.

Wu Jianping señaló que las leyes y regulaciones como la "Ley de Seguridad de Datos de la República Popular China" estipulan el período de almacenamiento de los datos del usuario por parte de los fabricantes bajo condiciones específicas. Por lo general, cuando un usuario elimina su cuenta, el fabricante solo necesita destruirla. los datos pertinentes dentro del plazo correspondiente.

Sin embargo, en la práctica actual de supervisión de datos, a excepción de algunas empresas involucradas en el negocio de exportación de datos, las autoridades reguladoras en la mayoría de los casos no examinan minuciosamente la implementación de la destrucción de datos relevante, lo que hace que la destrucción de datos dependa de la conciencia de los fabricantes, intensificando así el riesgo. riesgo de fuga de datos después de una vulneración del servidor en la nube.

Un reportero de todos los medios de Southern Finance descubrió que en el acuerdo de privacidad de la aplicación de soporte de Ecovacs, se establece que después de que el usuario cancele la cuenta de la aplicación, el fabricante "solo la usará durante el período necesario para el propósito establecido en esta política". y el tiempo máximo permitido por las leyes y regulaciones. "Si se conserva su información personal, la eliminaremos o la anonimizaremos de manera oportuna si excede este límite de tiempo".

En este sentido, Covacs dijo que actualizará el software del producto para que el mecanismo de invalidación del token entre en vigor en tiempo real, aumentará la dificultad de obtener el token y borrará la información de registro después de reiniciar el dispositivo para garantizar la seguridad de los datos. Además, se recordará a los usuarios que si desean transferir el dispositivo a otra persona, deben restablecerlo para evitar la fuga de información.

"A juzgar por los problemas publicados por el personal de seguridad esta vez, se requieren condiciones físicas como mantener el dispositivo dentro de un cierto rango o desmontarlo para lograr el crack. Los usuarios comunes pueden evitar esto restableciendo la configuración de la máquina y verificando el estado de la máquina de manera oportuna durante utilizar." Dijo un profesional de la industria del hogar inteligente cuando se comunicó con los periodistas.

En la respuesta de Ecovacs, afirmó además que la empresa respeta la costumbre de los expertos en seguridad de descubrir los peligros de los productos a través de la investigación y comunicarse de forma proactiva con las empresas. Ecovacs Robotics cree que los expertos en seguridad que interactúan con las empresas mediante simulacros ofensivos y defensivos y la publicación de resultados pueden ayudar a mejorar la seguridad del producto.

Falta de estándares de la industria.

Al revisar los eventos relacionados con el hogar inteligente en los últimos años, no es raro ver disputas de privacidad debido a vulnerabilidades de seguridad, además de robots de barrido, cámaras domésticas, cerraduras de puertas inteligentes y otros dispositivos conectados a Internet con su propia imagen, sensores de sonido y. Las capacidades de almacenamiento están teóricamente disponibles. El riesgo de ser pirateado de forma remota resulta en una fuga de información personal.

Detrás de los frecuentes problemas de seguridad de varios electrodomésticos inteligentes, por un lado, es necesario mejorar aún más la situación actual de la construcción de seguridad empresarial y, por otro lado, también está la falta de detalles regulatorios en campos relacionados.

Tomando como ejemplo el campo de los robots de barrido, el estándar de seguridad general actual al que se hace referencia principalmente en la industria es "Requisitos generales de seguridad para robots de servicio domésticos y de propósito similar" (GB/T 41527-2022), pero este estándar solo incluye señales e instrucciones. , estabilidad y cuestiones de seguridad mecánica a nivel físico como peligro, resistencia mecánica, estructura, etc., pero no incluyen cuestiones de seguridad relacionadas con el sistema operativo del propio dispositivo y la información personal del usuario recopilada.

Wu Jianping señaló que aunque mi país actualmente tiene requisitos regulatorios en seguridad de redes, diseño y fabricación de hardware, etc., faltan estándares de subdivisión correspondientes en el campo de productos inteligentes que combinen software y hardware. Se han ampliado sobre esta base. No hay forma de hablar de ello.

Tomemos como ejemplo los chips, que actualmente son los dispositivos centrales comúnmente utilizados en el hardware inteligente nacional. Para algunos chips que utilizan chips extranjeros o soluciones de diseño que se basan en ideas extranjeras, aunque los fabricantes nacionales han utilizado los productos, no han seguido su completo. conjunto de sistemas y procesos de mantenimiento, lo que hace que la vulnerabilidad del sistema Linux subyacente no pueda repararse durante mucho tiempo.

"Por ejemplo, el proveedor de servicios de software del lenguaje de programación Java adquirido por Oracle controlará qué tipo de hardware se ejecuta el software y los sistemas relevantes, qué tipo de protocolo utiliza la placa base y qué vulnerabilidades pueden existir. Por un lado, facilita la mantenimiento de la carga basada en suscripción y, por otro lado, también ayuda a garantizar la seguridad del software y el hardware”, dijo Wu Jianping.

Sin embargo, durante el extenso proceso de desarrollo de algunos fabricantes chinos en los primeros años, el estándar para el uso de software y componentes a menudo era "siempre que se pueda usar". Esto resultó en que muchas medidas de gestión de seguridad de apoyo no lograran mantenerse al día. Estos métodos impiden que terceros detecten el diseño y la arquitectura de su hardware y no pueden obtener información sobre la versión de su hardware. Como resultado, la mayoría de las pruebas de penetración de seguridad de la red a menudo se detienen en la capa de aplicación y no logran hacerlo. hundirse hasta la capa de hardware.

En este sentido, Wu Jianping sugirió además que, por un lado, deberíamos mejorar la construcción de estándares industriales relevantes y brindar a la supervisión o a terceros una forma de inspeccionar y probar la seguridad de los productos de hardware inteligentes; También dar prioridad a la adopción de tecnología de arquitectura nacional para facilitar la supervisión. La agencia lleva a cabo la supervisión de la lista de compras de la empresa para mejorar la transparencia y confiabilidad del diseño general del producto a nivel de seguridad.