扫地机器人可能不是您想象中的那么安全。
企业安全公司 Positive Technologies 的两位研究人员发现了影响中国东莞的 Diqee 360 真空吸尘器系列的漏洞,并分享了安全漏洞的细节。
由中国智能家居制造商 Diqee 制造的真空吸尘器居然还配备了 Wi-Fi 和 360 度摄像头,这个吸尘器具有动态监控功能,可以自动监控并拍摄房屋照片,同时实时向手机发送通知。
该公司将扫地机器变成了家庭监控设备。相机是你必须担心的东西!
被发现的远程代码漏洞(称为 CVE-2018-10987)可以为攻击者提供系统的 MAC 地址。根据该报告,这一漏洞包含在 REQUEST_SET_WIFIPASSWD 函数中,并且其使用需要身份验证,尽管标准的用户名和密码组合很常见(admin / 888888)。
研究人员怀疑东莞 Diqee 360 机器人漏洞可能会影响其他使用视频模块的产品,包括室外监控摄像头,智能门铃和 DVR。 Diqee 公司还生产以其他品牌销售的真空吸尘器,研究人员表示这些设备都会受到漏洞的影响。
Positive Technologies 指出,第二个漏洞,即 CVE-2018-10988,也有同样的影响,需要通过 SD 卡插槽进行物理访问才能破坏机器。将卡插入真空吸尘器时,它可以运行固件文件而无需进行数字签名检查。攻击者可以创建自己的脚本并将其放在 upgrade_360 文件夹中,从而重新启动吸尘器。
虽然尚未提供有关补丁的信息,但 Positive Technologies 已将此漏洞通知给供应商。 TechCrunch 向 Diqee 通报了漏洞,但目前没有回音。
“像任何其他物联网设备一样,这些真空扫地机器人可以被包含在用于 DDoS 攻击的僵尸网络中,但即便如此甚至都还不是最糟糕的情况,至少对业主而言,”Positive Technology 网络安全负责人 Anne Galloway 说。
“由于该设备带有 Wi-Fi,具有夜视、和能用智能手机控制导航的网络摄像头,攻击者可利用其来暗中监视所有者,甚至将该设备作为攻击入口,以获得最大的监视潜力。”
如果您家买了这种扫地机器人,请立即将它装回包装盒,塞进储物柜!
Comentarios