Nachdem die Sicherheitslücken bei Haushaltsgeräten von ECOVACS aufgetaucht sind, folgt nun das offizielle Statement des Unternehmens.
ECOVACS | Statement wegen Datensicherheit
Erst gestern habe ich euch darüber informiert, dass Forscher herausgefunden haben, dass man sich zuerst via Bluetooth und dann via WLAN mit den Saug- und Mährobotern von Ecovacs verbinden kann. Danach sei es möglich, auf die Kamera oder auch die gespeicherte Karte zuzugreifen. Bluetooth ist bei den Mährobotern demnach dauerhaft aktiv, bei den Saugrobotern jedoch nicht, was den Angriff hier etwas schwieriger macht. Allerdings lassen sich über ein bereits gehacktes Gerät weitere im Haushalt befindliche Roboter der Marke übernehmen.
Jetzt hat sich ECOVACS zu den Vorwürfen zu Wort gemeldet und uns ein offizielles Statement zukommen lassen. Dieses möchte ich euch wie folgt 1 zu 1 übersetzt wiedergeben. Das Inhaltsverzeichnis hilft euch, euch in dem Statement zurechzufinden:
ECOVACS Statement
Datensicherheitsprobleme, Fakten und Maßnahmen
ECOVACS legt höchsten Wert auf Datensicherheit und Kundendatenschutz. Um die von Dennis Giese und Braelynn angesprochenen Probleme zu lösen, hat das ECOVACS-Sicherheitskomitee einen internen Überprüfungsprozess der Netzwerkverbindungen und Datenspeicherung eingeleitet. Nach der umfassenden internen Überprüfung wurde festgestellt, dass identifizierte Sicherheitsprobleme in normalen Benutzerumgebungen äußerst selten sind und professionelle Hacking-Tools und physischen Kontakt mit dem Gerät erfordern. Daher können Benutzer sicher sein, dass sie sich darüber keine übermäßigen Sorgen machen müssen. Dennoch werden wir unsere Produkte weiterhin proaktiv auf der Grundlage unserer Überprüfungsergebnisse verbessern, wie wir es immer getan haben.
Hier sind die entsprechenden Fakten und die Maßnahmen, die wir ergreifen werden:
#Problem 1
Geise und Braelynn weisen darauf hin, dass die Bluetooth-Verbindung potenzielle Sicherheitslücken aufweist, da sie ein PIN-Verifizierungsschema verwendet, wenn Bluetooth dauerhaft eingeschaltet ist, was in Bezug auf die Sicherheit in professionellen Bereichen relativ schwach ist. Wenn die Bluetooth-Verbindung gehackt und der PIN-Code weitergegeben wird, können für Benutzer Risiken wie die unbefugte Steuerung von Kamera und Mikrofon sowie der potenzielle Diebstahl von Kartendaten, Protokolldaten, WLAN-Benutzerkennwörtern und anderen vertraulichen Informationen bestehen.
#Fakt
Um die PIN-Code-Verifizierung der Bluetooth-Verbindung zu knacken, muss man sich innerhalb des Bluetooth-Abdeckungsbereichs des Geräts befinden und spezielle Hacking-Tools verwenden. Wir betrachten dies als eine Hacking-Methode im Rahmen technischer Verteidigungs- und Angriffsaktionen, aber es ist nichts, was im täglichen Leben normalerweise vorkommen würde. Wir glauben, dass es illegal ist, diese Methode zu verwenden, um die Geräte anderer Benutzer zu kompromittieren.
#Aktion
ECOVACS wird die Sicherheit der Bluetooth-Verbindungen seiner Produkte durch die Umsetzung technischer Maßnahmen verbessern, wie z. B. die Einschränkung von Zweitkontoanmeldungen, die Stärkung des zweiten Verifizierungsprozesses für Bluetooth-Geräteverbindungen und die Anforderung physischer Vorgänge zum Abschließen der Bluetooth-Kopplung.
#Problem 2
Geise und Braelynn weisen darauf hin, dass einige ECOVACS-Produkte potenzielle Sicherheitsrisiken im Zusammenhang mit der Datenspeicherung aufweisen. Nach dem Zurücksetzen des Geräts werden die Daten auf dem Gerät nicht vollständig gelöscht und nach der Deaktivierung des Kontos werden die Cloud-Daten nicht sofort entfernt, was von Hackern ausgenutzt werden könnte.
#Fakt
In realen Szenarien werden die auf dem Gerät gespeicherten Karten, Protokolle und Einstellungen gelöscht, wenn ein Verbraucher ein Gerät zurücksetzt. Einige Produkte behalten Offline-Protokollinformationen, um gelegentliche Offline-Probleme zu diagnostizieren. Wenn ein Benutzer sein Konto deaktiviert, anonymisiert ECOVACS die zugehörigen Produktnutzungsdaten in der Cloud. Unsere Geräte können nur mit speziellen Hacking-Tools gehackt werden, um auf Geräteprotokollinformationen zuzugreifen, und das Anzeigen von Cloud-Daten innerhalb der siebentägigen Gültigkeitsdauer ist nur möglich, wenn die Cloud-Zugriffstoken geknackt wurden.
#Aktion
ECOVACS ist bestrebt, die Produktsicherheit durch Software-Updates zu verbessern, einen Echtzeit-Token-Ungültigkeitsmechanismus zu aktivieren, den Schwierigkeitsgrad beim Erhalt von Token zu erhöhen und Protokolle nach dem Zurücksetzen zu löschen, um die Datensicherheit zu gewährleisten. Wir werden die Benutzer auch daran erinnern, ihre Geräte zurückzusetzen, bevor sie sie an andere übertragen, um Datenlecks zu verhindern.
Andere Probleme und Maßnahmen
In Bezug auf andere von Giese und Braelyn angesprochene Probleme, wie das Fehlen einer TLS-Zertifikatsüberprüfung, der Netzwerkzugriffssicherheitsrichtlinie, Schwachstellen bei der Remote-Codeausführung und der Zugriffsauthentifizierung von Echtzeitkameras, planen wir, die Systemsicherheit in kommenden Produktupdates zu stärken. Diese Maßnahmen umfassen die Verschlüsselung von Firmware-Paketen, einen sicheren Start, die Validierung von TLS-Zertifikaten und die Dateiverschlüsselung. ECOVACS hat die Produktsicherheit bereits in mehreren Dimensionen verbessert, darunter Systemanmeldung, Dateiformat, Überprüfungsmethoden und Protokolle.
Unsere Standpunkte
ECOVACS respektiert die Praxis von Sicherheitsexperten, die potenzielle Schwachstellen durch Forschung identifizieren und ihre Ergebnisse proaktiv mit Unternehmen teilen. Wir glauben, dass die Interaktion zwischen Sicherheitsexperten und Unternehmen durch offensive und defensive Tests und die Veröffentlichung von Ergebnissen zur Verbesserung der Produktsicherheit beiträgt.
ECOVACS hat der Produkt- und Datensicherheit sowie dem Schutz der Privatsphäre der Verbraucher schon immer höchste Priorität eingeräumt. Wir versichern unseren Kunden, dass unsere bestehenden Produkte ein hohes Maß an Sicherheit im täglichen Leben bieten und dass Verbraucher ECOVACS-Produkte vertrauensvoll verwenden können.
Bei Fragen kontaktieren Sie uns bitte per E-Mail: press@ecovacs.com
Du willst mehr über Saug- & Wischroboter wissen? Dann tritt doch unserer „Saug- & Wischroboter-Gruppe“ auf Facebook bei. Dort findest du eine riesige Community, mit der du dich zum Thema austauschen kannst! Falls du auf der Suche nach einem neuen Saugroboter bist, hilft dir unser Tool der Saugroboter Finder weiter!
Hinterlasse uns einen Kommentar