中國製智慧掃地機器人被發現漏洞,鏡頭影像或可被第三者截取

作者 | 發布日期 2018 年 07 月 23 日 11:11 | 分類 周邊 , 網路 , 資訊安全 follow us in feedly


現在智慧家居產品都連上網,方便用戶操作管理,但這些連接網路的產品,有機會被不法份子入侵,甚至遭盜用。資訊保安公司就發現,有中國製具備 360 度鏡頭、Wi-Fi 上網的智慧掃地機器人,由於系統保護性能不足,如果被駭客利用,家裡每個角落都有機會被監視。

南韓資訊保安公司 Positive Technologies 研究人員發現,問題發生在中國廣東省東莞市智慧家居公司 Diqee(締奇)生產的「360 鏡頭智慧掃地機器人」。這個機器人擁有一個 360 度鏡頭,可透過手機遠端控制,用戶可隨時留意家中的任何變化,價格為 2,999 人民幣(約台幣 13,759 元)。

該裝置漏洞發生在「REQUEST_SET_WIFIPASSWORD」函數。如果產品被駭客知悉其 MAC 網路裝置辨識位址,用戶也沒有更改裝置密碼,駭客就能利用預設登入資料(用戶名稱:admin/密碼:888888),再從破解該函數來取得系統管理者權限,進而執行駭客指定的遠端程式碼,屬 CVE-2018-10987 網路漏洞。在此機器人中也被發現 CVE-2018-10988 漏洞,但駭客需要在 SD 卡插槽插上 SD 卡才可攻破。

保安公司研究人員指,駭客有可能遠端操控掃地機器人,或竊取鏡頭影像,讓這部掃地機器人變成一部裝上輪子的竊聽器。

保安公司已聯絡有關生產商,但到目前為止生產商仍未對有關漏洞進行修補。該掃地機器人產品附有一個隱私保護蓋,想保障個人隱私的用戶可以先關閉鏡頭。

保安公司指締奇生產的其他產品如戶外攝影機、智慧門鈴、數位錄影裝置,以及其 OEM 產品都可能隱藏這些漏洞。

(本文由 Unwire HK 授權轉載;圖片來源:Diqee