Awal bulan ini, peneliti keamanan memperingatkan bahwa beberapa kelemahan pada mesin pemotong rumput robotik yang dibuat oleh Ecovacs dapat memungkinkan peretas memata-matai pemiliknya melalui mikrofon dan kamera perangkat.
Pada saat itu, Ecovacs mengatakan kepada TechCrunch bahwa bug yang ditemukan para peneliti “sangat jarang terjadi di lingkungan yang mereka gunakan dan memerlukan alat peretasan khusus dan akses ke perangkat.”
“Oleh karena itu, pengguna dapat yakin bahwa mereka tidak perlu terlalu khawatir tentang masalah ini,” bunyi pernyataan yang dikirim melalui email, menolak berkomitmen untuk memperbaiki kerentanan.
Dua minggu kemudian, Ecovacs berubah pikiran dan memberi tahu para peneliti dan TechCrunch bahwa perusahaan tersebut sebenarnya akan memperbaiki kesalahan tersebut.
“Kami telah melakukan penelitian ekstensif dan pemeriksaan mandiri. Kami telah mengidentifikasi beberapa area yang memerlukan perbaikan,” Martin Ma, kepala komite keselamatan Ecovacs, mengatakan kepada TechCrunch melalui email. “Sebagai tanggapannya, kami telah menerapkan perbaikan yang kami harapkan dan mengatasi masalah yang telah diidentifikasi.”
Hubungi kami
Apakah Anda memiliki informasi tentang kesalahan pada Ecovacs atau robot rumah lainnya yang terhubung ke Internet? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda dapat menghubungi TechCrunch melalui SecureDrop.
Pada tanggal 10 Agustus, peneliti keamanan Dennis Giese dan Braelynn berbicara tentang penelitian mereka terhadap robot rumah Ecovacs pada konferensi tahunan Def Con di Las Vegas. Pasangan tersebut mengatakan mereka menganalisis 11 perangkat Ecovacs dan menemukan beberapa cacat.
Fitur paling berbahaya, katanya, memungkinkan setiap pengguna ponsel terhubung ke robot Ecovacs melalui Bluetooth dari jarak hingga 450 kaki – sekitar 130 meter – dan mengontrol peralatan. Cacat ini memungkinkan peretas memantau robot dari mana saja karena robot terhubung ke Internet melalui Wi-Fi.
Beberapa bug mengandung kelemahan yang memungkinkan seseorang mengakses penyimpanan bot setelah menjualnya dan menghapus akunnya, yang berarti mereka dapat memata-matai pemilik baru, menurut para peneliti.
Dalam email ke Giese pada 16 Agustus dan dibagikan dengan TechCrunch, Ma dari Ecovacs mengatakan pembicaraan para peneliti di Def Con “menarik perhatian saya.” Itu sebabnya, lanjut email tersebut, Ma meminta tim keamanan Ecovacs untuk mengambil kembali korespondensi perusahaan dengan para peneliti. Ma mengatakan perusahaan tersebut “secara tidak sengaja mengabaikan” email penyelidik pada Desember 2023.
“Kami telah meninjau dengan cermat poin-poin Anda yang Anda rilis di email dan Demo sebelumnya di Def Con 2024, dan melakukan penyelidikan menyeluruh,” kata Ma, seraya menambahkan bahwa perusahaan akan memperbaiki masalah tersebut pada dua model Ecovacs – Goat. G1 dan X1 – juga dalam program Ecovacs.
“Analisis Anda sangat diapresiasi dan diapresiasi oleh tim teknis kami. Pendapat Anda sangat penting dalam melindungi keamanan dan integritas produk kami, dan ini sangat membantu industri elektronik konsumen,” tulis Ma. “Pada akhirnya, konsumenlah yang akan mendapatkan manfaat terbesar dari dedikasi Anda.”