Anksčiau šį mėnesį saugumo tyrėjai perspėjo, kad „Ecovacs“ sukurtų vakuuminių ir vejapjovių robotų saugumo trūkumai gali leisti įsilaužėliams šnipinėti jų savininkus per įrenginių mikrofonus ir kameras.
Tuo metu „Ecovacs“ sakė „TechCrunch“ padariusi išvadą, kad tyrėjų aptikti trūkumai „yra labai reti įprastoje vartotojų aplinkoje ir reikalauja specializuotų įsilaužimo įrankių bei fizinės prieigos prie įrenginio“.
„Todėl vartotojai gali būti tikri, kad jiems nereikia per daug dėl to jaudintis“, – rašoma elektroniniu paštu atsiųstame pareiškime, kuriame atsisakoma įsipareigoti ištaisyti pažeidžiamumą.
Po dviejų savaičių „Ecovacs“ persigalvojo, pasakydama tyrėjams ir „TechCrunch“, kad iš tikrųjų įmonė ištaisys klaidas.
„Atlikome nuodugnų patikrinimą ir savianalizę. Mes nustatėme kelias sritis, kuriose galima tobulinti“, – el. laiške „TechCrunch“ sakė „Ecovacs“ saugumo komiteto direktorius Martinas Ma. „Reaguodami į tai, inicijavome tikslinius patobulinimus ir sprendžiame pabrėžtas problemas.
Susisiekite su mumis
Ar turite daugiau informacijos apie Ecovacs ar kitų prie interneto prijungtų namų robotų trūkumus? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram ir Keybase @lorenzofb arba el. paštu. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.
Rugpjūčio 10 d. saugumo tyrinėtojai Dennise'as Giese ir Braylinn'as kasmetinėje programišių „Def Con“ konferencijoje Las Vegase papasakojo apie savo „Ecovacs“ namų robotų tyrimus. Jiedu teigė išanalizavę 11 „Ecovacs“ įrenginių ir aptikę keletą trūkumų.
Pasak jų, labiausiai veikiantis pažeidžiamumas leidžia visiems, naudojantiems telefoną, prisijungti prie „Ecovacs“ roboto per „Bluetooth“ net iš 450 pėdų – maždaug 130 metrų – ir perimti įrenginių valdymą. Šis trūkumas leistų įsilaužėliams stebėti robotus iš bet kurios vietos, nes robotai yra prijungti prie interneto per „Wi-Fi“.
Kiti trūkumai buvo klaida, kuri leistų kam nors prieiti prie roboto dulkių siurblio jį pardavus ir ištrynus savo paskyrą, o tai reiškia, kad po to jie galėtų šnipinėti naujus įrenginio savininkus, teigia tyrėjai.
Rugpjūčio 16 d. el. laiške Giese ir pasidalinta su TechCrunch Ecovacs' Ma paminėjo, kad mokslininkų pokalbis Def Con „patraukė mano dėmesį”. Štai kodėl, tęsiamas el. laiškas, Ma paprašė „Ecovacs“ saugos komandos gauti korespondenciją, kurią bendrovė turėjo su tyrėjais. Ma teigė, kad bendrovė „netyčia nepastebėjo“ tyrėjų el. laiškų nuo 2023 m. gruodžio mėn.
„Atidžiai peržiūrėjome jūsų klausimus, iškeltus ankstesniuose el. laiškuose ir demonstracijose „Def Con 2024“, ir atlikome nuodugnų patikrinimą bei savęs patikrinimą“, – sakė Ma ir pridūrė, kad bendrovė išspręs dviejuose „Ecovacs“ modeliuose – „Ožkos“ – problemas. G1 ir X1 – ir Ecovacs programėlėje.
„Jūsų analizę labai įvertino ir įvertino mūsų techninė komanda. Jūsų įžvalgos yra neįkainojamos užtikrinant mūsų produktų saugumą ir vientisumą, be to, jos labai prisideda prie visos plataus vartojimo elektronikos pramonės“, – rašė Ma. „Galiausiai iš jūsų atsidavimo daugiausia naudos turės paprasti vartotojai.