Ранее в этом месяце исследователи по безопасности предупредили, что серия уязвимостей безопасности в роботах-пылесосах и газонокосилках, производимых Ecovacs, могла бы позволить хакерам шпионить за их владельцами через микрофоны и камеры устройств.
На тот момент Ecovacs заявил TechCrunch, что пришел к выводу, что обнаруженные исследователями уязвимости "крайне редки в типичных средах использования и требуют специализированных инструментов для взлома и физического доступа к устройству".
"Поэтому пользователи могут не беспокоиться излишне об этом", - гласило письмо, отказавшееся обязывать исправить уязвимости.
Через две недели Ecovacs передумала и заявила исследователям и TechCrunch, что, на самом деле, компания исправит ошибки.
"Мы провели глубокую проверку и самопроверку. Мы выявили несколько областей, где есть место для улучшения", - рассказал Мартин Ма, директор комитета по безопасности Ecovacs, TechCrunch в письме. "Для этого мы начали целенаправленные улучшения и устранение выявленных проблем".
Свяжитесь с нами
У вас есть больше информации об уязвимостях в Ecovacs или других подключенных к интернету домашних роботах? С незащищенного устройства вы можете связаться с Лоренцо Франчески-Биккьери безопасно через Signal по номеру +1 917 257 1382, или через Telegram и Keybase @lorenzofb, или по электронной почте. Также вы можете связаться с TechCrunch через SecureDrop.
10 августа исследователи по безопасности Деннис Гизе и Брейлинн выступили с докладом о своих исследованиях домашних роботов Ecovacs на ежегодной конференции по взлому Def Con в Лас-Вегасе. Они заявили, что проанализировали 11 устройств Ecovacs и обнаружили несколько уязвимостей.
Самая важная уязвимость, по их словам, позволяет любому, использующему телефон, подключиться к роботу Ecovacs через Bluetooth со станции до 450 футов - около 130 метров - и получить управление над устройствами. Эта уязвимость позволит хакерам мониторить роботов отовсюду, потому что роботы подключены к интернету через Wi-Fi.
Другие уязвимости включали ошибку, позволяющую кому-то получить доступ к роботу-пылесосу после продажи и удаления своей учетной записи, что означало бы, что они могли бы затем шпионить за новыми владельцами устройства, согласно исследователям.
В письме Гизе от 16 августа и разделенном с TechCrunch, Ма от Ecovacs упомянул, что доклад исследователей на Def Con "привлек его внимание". Поэтому, продолжалось письмо, Ма попросил команду по безопасности Ecovacs извлечь корреспонденцию, которую компания вела с исследователями. Ма сказал, что компания "по неосторожности пропустила" электронные письма от исследователей с декабря 2023 года.
"Мы внимательно рассмотрели ваши замечания, высказанные в предыдущих электронных письмах, и Демо на Def Con 2024, и провели глубокую проверку и самопроверку", - сказал Ма, добавив, что компания исправит проблемы в двух моделях Ecovacs - Goat G1 и X1 - и в приложении Ecovacs.
"Ваш анализ был очень оценен и высоко оценен нашей технической командой. Ваши идеи бесценны для обеспечения безопасности и целостности наших продуктов, и они значительно способствуют индустрии потребительской электроники в целом", - написал Ма. "В конечном итоге, это обычные потребители будут выигрывать больше всего благодаря вашему старании".
