Awal bulan ini, peneliti keamanan memperingatkan bahwa serangkaian kelemahan keamanan pada robot penyedot debu dan pemotong rumput yang dibuat oleh Ecovacs dapat memungkinkan peretas untuk memata-matai pemiliknya melalui mikrofon dan kamera perangkat tersebut.
Saat itu, Ecovacs mengatakan kepada TechCrunch bahwa mereka menyimpulkan bahwa kelemahan yang ditemukan oleh para peneliti “sangat jarang terjadi di lingkungan pengguna pada umumnya dan memerlukan alat peretasan khusus dan akses fisik ke perangkat tersebut.”
“Oleh karena itu, pengguna dapat yakin bahwa mereka tidak perlu terlalu khawatir tentang hal ini,” demikian bunyi pernyataan yang dikirim melalui email tersebut, yang menolak untuk berkomitmen memperbaiki kerentanan tersebut.
Dua minggu kemudian, Ecovacs berubah pikiran, memberi tahu para peneliti dan TechCrunch bahwa, sebenarnya, perusahaan akan memperbaiki bug tersebut.
“Kami telah melakukan verifikasi dan pemeriksaan mandiri secara mendalam. Kami telah mengidentifikasi beberapa area yang masih dapat ditingkatkan,” kata Martin Ma, direktur komite keamanan Ecovacs, kepada TechCrunch melalui email. “Sebagai tanggapan, kami telah memulai perbaikan yang terarah dan mengatasi masalah yang disoroti.”
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang kelemahan Ecovacs atau robot rumahan lain yang terhubung internet? Dari perangkat non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Pada tanggal 10 Agustus, peneliti keamanan Dennis Giese dan Braelynn memberikan ceramah tentang penelitian mereka terhadap robot rumahan Ecovacs di konferensi peretasan tahunan Def Con di Las Vegas. Keduanya mengatakan mereka menganalisis 11 perangkat Ecovacs dan menemukan beberapa kelemahan.
Kerentanan yang paling berdampak, kata mereka, memungkinkan siapa saja yang menggunakan telepon untuk terhubung ke robot Ecovacs melalui Bluetooth dari jarak sejauh 450 kaki — sekitar 130 meter — dan mengambil alih kendali perangkat. Cacat itu kemudian memungkinkan para peretas memantau robot dari mana saja karena robot terhubung ke internet melalui Wi-Fi.
Kelemahan lainnya termasuk bug yang memungkinkan seseorang mengakses robot penyedot debu setelah menjualnya dan menghapus akunnya, yang berarti mereka kemudian dapat memata-matai pemilik baru perangkat tersebut, menurut para peneliti.
Dalam surel kepada Giese pada 16 Agustus dan dibagikan dengan TechCrunch, Ma dari Ecovacs menyebutkan bahwa pembicaraan para peneliti di Def Con “telah menarik perhatian saya.” Itulah sebabnya, lanjut surel tersebut, Ma meminta tim keamanan Ecovacs untuk mengambil korespondensi yang dimiliki perusahaan dengan para peneliti. Ma mengatakan bahwa perusahaan “tanpa sengaja mengabaikan” surel para peneliti dari Desember 2023.
“Kami telah meninjau dengan saksama poin-poin yang Anda sampaikan dalam email sebelumnya dan Demo di Def Con 2024, serta melakukan verifikasi dan pemeriksaan mandiri secara mendalam,” kata Ma, seraya menambahkan bahwa perusahaan akan memperbaiki masalah pada dua model Ecovacs — Goat G1 dan X1 — dan di aplikasi Ecovacs.
“Analisis Anda sangat dihargai dan dievaluasi oleh tim teknis kami. Wawasan Anda sangat berharga dalam menjaga keamanan dan integritas produk kami, dan memberikan kontribusi yang signifikan terhadap industri elektronik konsumen secara keseluruhan,” tulis Ma. “Pada akhirnya, konsumen umumlah yang akan memperoleh manfaat paling besar dari dedikasi Anda.”
