Ecovacs dit qu'il corrigera les bogues qui peuvent être exploités pour espionner les propriétaires de robots
Plus tôt ce mois-ci, des chercheurs en sécurité ont mis en garde contre une série de failles de sécurité dans les robots aspirateurs et tondeuses fabriqués par Ecovacs, qui pourraient permettre aux pirates informatiques d'espionner leurs propriétaires à travers les microphones et les caméras des appareils.
À l'époque, Ecovacs a déclaré à TechCrunch qu'il avait conclu que les failles découvertes par les chercheurs "sont extrêmement rares dans des environnements utilisateur typiques et nécessitent des outils de piratage spécialisés ainsi qu'un accès physique à l'appareil."
"Par conséquent, les utilisateurs peuvent être assurés qu'ils n'ont pas besoin de s'inquiéter excessivement à ce sujet," indique la déclaration par e-mail, refusant de s'engager à corriger les vulnérabilités.
Deux semaines plus tard, Ecovacs a changé d'avis, indiquant aux chercheurs et à TechCrunch que, en fait, l'entreprise corrigera les bogues.
"Nous avons mené une vérification approfondie et un auto-examen. Nous avons identifié plusieurs domaines où il y a place à l'amélioration," a déclaré Martin Ma, directeur du comité de sécurité d'Ecovacs, à TechCrunch dans un e-mail. "En réponse, nous avons initié des améliorations ciblées et traité les problèmes soulignés."
Le 10 août, les chercheurs en sécurité Dennis Giese et Braelynn ont présenté une conférence sur leurs recherches sur les robots domestiques d'Ecovacs lors de la conférence annuelle de piratage Def Con à Las Vegas. Ils ont déclaré avoir analysé 11 appareils Ecovacs et trouvé plusieurs failles.
La vulnérabilité la plus importante, ont-ils déclaré, permet à toute personne utilisant un téléphone de se connecter à un robot Ecovacs via Bluetooth jusqu'à 450 pieds - environ 130 mètres - et de prendre le contrôle des appareils. Cette faille permettrait ensuite aux pirates de surveiller les robots de n'importe où car les robots sont connectés à Internet via le Wi-Fi.
D'autres failles ont inclus un bogue qui permettrait à quelqu'un d'accéder à un aspirateur robot après l'avoir vendu et supprimé son compte, ce qui signifie qu'il pourrait ensuite espionner les nouveaux propriétaires de l'appareil, selon les chercheurs.
Dans un e-mail adressé à Giese le 16 août et partagé avec TechCrunch, Ma d'Ecovacs a mentionné que la conférence des chercheurs à Def Con "a attiré mon attention." C'est pourquoi, a continué l'e-mail, Ma a demandé à l'équipe de sécurité d'Ecovacs de récupérer la correspondance que l'entreprise avait eue avec les chercheurs. Ma a déclaré que l'entreprise avait "involontairement omis" les e-mails des chercheurs de décembre 2023.
"Nous avons examiné attentivement les points que vous avez soulevés dans les e-mails précédents et les démonstrations à Def Con 2024, et avons mené une vérification approfondie et un auto-examen," a déclaré Ma, ajoutant que l'entreprise corrigera les problèmes dans deux modèles Ecovacs - le Goat G1 et le X1 - et dans l'application Ecovacs.
"Votre analyse a été grandement appréciée et appréciée par notre équipe technique. Vos idées sont inestimables pour sauvegarder la sécurité et l'intégrité de nos produits, et elles contribuent de manière significative à l'industrie de l'électronique grand public dans son ensemble," a écrit Ma. "En fin de compte, ce sont les consommateurs en général qui bénéficieront le plus de votre dévouement."
