Güvenlik araştırmacıları bu ayın başlarında, Ecovacs tarafından üretilen elektrikli süpürge ve çim biçme robotlarındaki bir dizi güvenlik açığının, bilgisayar korsanlarının cihazların mikrofonları ve kameraları aracılığıyla sahiplerini gözetlemelerine olanak tanıyabileceği konusunda uyardı.
Ecovacs o dönemde TechCrunch’a yaptığı açıklamada, araştırmacılar tarafından bulunan kusurların “tipik kullanıcı ortamlarında son derece nadir olduğunu ve özel bilgisayar korsanlığı araçları ve cihaza fiziksel erişim gerektirdiğini” belirtmişti.
E-postayla gönderilen açıklamada, “Bu nedenle kullanıcılar bu konuda aşırı endişelenmelerine gerek olmadığından emin olabilirler” ifadesi yer alırken, güvenlik açıklarını düzeltme taahhüdünde bulunulmadığı belirtildi.
İki hafta sonra Ecovacs fikrini değiştirerek araştırmacılara ve TechCrunch’a şirketin aslında hataları düzelteceğini söyledi.
Ecovacs’ın güvenlik komitesi direktörü Martin Ma, TechCrunch’a gönderdiği e-postada, “Derinlemesine bir doğrulama ve kendi kendimizi inceleme gerçekleştirdik. İyileştirmeye yer olan birkaç alan belirledik” dedi. “Buna karşılık, hedeflenen iyileştirmeleri başlattık ve vurgulanan sorunları ele aldık.”
Bize Ulaşın
Ecovacs veya diğer internet bağlantılı ev robotlarındaki kusurlar hakkında daha fazla bilginiz var mı? Çalışmayan bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal’den veya @lorenzofb numaralı Telegram ve Keybase’den güvenli bir şekilde iletişime geçebilir veya e-posta gönderebilirsiniz. Ayrıca SecureDrop aracılığıyla TechCrunch ile iletişime geçebilirsiniz.
10 Ağustos’ta güvenlik araştırmacıları Dennis Giese ve Braelynn konuşma yaptı Las Vegas’taki yıllık hacking Def Con konferansında Ecovacs’ın ev robotları üzerine yaptıkları araştırma hakkında. İkisi 11 Ecovacs cihazını analiz ettiklerini ve birkaç kusur bulduklarını söyledi.
En etkili güvenlik açığının, telefon kullanan herkesin Bluetooth aracılığıyla 450 fit (yaklaşık 130 metre) uzaklıktan bir Ecovacs robotuna bağlanabilmesine ve cihazların kontrolünü ele geçirebilmesine olanak sağladığını söylediler. Bu kusur daha sonra bilgisayar korsanlarının robotları her yerden izlemesine olanak tanıyacaktı çünkü robotlar Wi-Fi aracılığıyla internete bağlıydı.
Araştırmacılara göre diğer kusurlar arasında, birinin robot süpürgeyi satıp hesabını sildikten sonra ona erişmesine izin veren bir hata da bulunuyordu; bu da, cihazın yeni sahiplerini gözetleyebilmeleri anlamına geliyordu.
16 Ağustos’ta Giese’ye gönderilen ve TechCrunch ile paylaşılan bir e-postada Ecovacs’ın Ma’sı, araştırmacıların Def Con’daki konuşmasının “dikkatini çektiğini” belirtti. E-postada devam edildiği üzere Ma, bu nedenle Ecovacs güvenlik ekibinden şirketin araştırmacılarla yaptığı yazışmaları almasını istedi. Ma, şirketin araştırmacıların Aralık 2023 tarihli e-postalarını “istemeden gözden kaçırdığını” söyledi.
Ma, “Önceki e-postalarda ve Def Con 2024’teki Demolarda gündeme getirdiğiniz noktaları dikkatlice inceledik ve derinlemesine bir doğrulama ve kendi kendini inceleme gerçekleştirdik” dedi ve şirketin iki Ecovacs modelindeki (Goat G1 ve X1) ve Ecovacs uygulamasındaki sorunları düzelteceğini ekledi.
“Analiziniz teknik ekibimiz tarafından büyük bir değere sahip ve takdir edildi. Görüşleriniz ürünlerimizin güvenliğini ve bütünlüğünü korumada paha biçilmezdir ve tüketici elektroniği endüstrisine bir bütün olarak önemli katkılarda bulunurlar,” diye yazdı Ma. “Sonuç olarak, özverinizden en çok yararlanacak olanlar genel tüketicilerdir.”