多くの Ecovacs デバイスには弱点があると言われています (私たちが報告しました)。十分なノウハウがあれば、デバイスを乗っ取り、内蔵カメラやマイクを監視することは可能だと思われます。セキュリティ研究者らによると、エコバックスはその情報に応じていないが、現在この事件を報道した報道機関に声明を送っているという。これが事実であり、Ecovacs が現時点で対応しているだけであれば、それは恥ずべきことです。なぜなら、セキュリティ研究者が脆弱性を報告するとき、企業は注意を払うべきだからです。
そしてエコバックスでは何と言われているのでしょうか?包括的な内部レビューの結果、特定されたセキュリティ問題は通常のユーザー環境では非常にまれであり、専門的なハッキング ツールとデバイスへの物理的な接触が必要であることが判明しました。 Bluetooth の脆弱性は次のとおりです。 Bluetooth 接続の PIN コード認証を破るには、デバイスの Bluetooth 通信範囲内にいて、特殊なハッキング ツールを使用する必要があります。
同社はこれを「技術的な防御および攻撃作戦におけるハッキング手法ではあるが、日常生活で通常発生するものではない」と考えている。この手順は違法であるとさえ考えられています。しかし正直に言うと、Ecovacs がその方法が違法である可能性があると文句を言うのではなく、それについて何らかの措置を講じるべきである可能性はあります。結局のところ、同社は次のような技術的手段を通じて、自社製品の Bluetooth 接続のセキュリティを向上させます。二次アカウントのログインを制限したり、Bluetooth デバイス接続の二次検証プロセスを強化したり、Bluetooth ペアリングを完了するために物理的な操作を要求したりするなどです。
セキュリティ研究者らはまた、ユーザーがアカウントを削除した場合でもデータは利用可能なままであると警告した。同社によれば、これにはオフラインの問題を診断するために保持される匿名化されたデータが含まれます。それが何を意味するにせよ。ユーザーがアカウントを非アクティブ化すると、Ecovacs はクラウド内の関連する製品使用状況データを匿名化します。
これらのデバイスは、デバイスのログ情報にアクセスするために「専用のハッキング ツールを使用してハッキング可能」であり、クラウド アクセス トークンがクラックされた場合にのみ、7 日間の有効期間内にクラウド データを表示できるようになります。今回はこれを解決したいと思います。
ソフトウェア アップデートによる製品セキュリティの向上、リアルタイム トークン無効化メカニズムの有効化、トークン取得の難易度の向上、データ セキュリティを確保するためのリセット後のログの消去に取り組んでいます。彼らは他の問題も解決したいと考えています。今後の製品アップデートではシステムセキュリティを強化する予定だという。これらの対策には、ファームウェア パッケージの暗号化、セキュア ブート、TLS 証明書の検証、ファイル暗号化が含まれます。
さて、そこで何が起こるか見てみましょう。次回のDefConまでに何か発表があるかもしれない。
