2018年8月16日 星期四

中國製掃地機器人Diqee 360被爆含有安全漏洞

再次籲請各位注意資安:
目前「物聯網IoT」觀念興盛,不只中國品牌3C與網路設備,中國品牌聯網家電(如電視,掃地機器人,家用監控攝影機)都最好「敬而遠之」才是台灣人自保之道。
************************

中國製掃地機器人Diqee 360被爆含有安全漏洞

資安業者Positive Technologies本周指出,由中國業者締奇(Diqee)所生產的360掃地機器人含有兩個安全漏洞,成功地開採將允許駭客自遠端控制掃地機器人,甚至是攔截掃地機器所處Wi-Fi網路上所傳送的資料。

360掃地機器人除了具備自動吸塵、掃地與拖地功能之外,還配備視訊攝影機以提供遠端監控能力,售價為2999元人民幣(約13,750元新台幣)。

Positive在360掃地機器人上發現的第一個安全漏洞為CVE-2018-10987,該漏洞存在於 REQUEST_SET_WIFIPASSWD功能中,它是一個UDP(User Datagram Protocol)命令,駭客可藉由掃地機器人的MAC位址在網路上找到該裝置,並傳送一個UDP請求,就能以Superuser權限自遠端執行命令。成功的開採還必須登入該裝置,不過,許多360掃地機器人用戶並未變更其預設名稱與密碼,而讓攻擊變得更簡單。

此一漏洞允許駭客從遠端控制360掃地機器人,包括讓它移動或觀看掃地機器人所拍攝的影像,也能用它來執行分散式阻斷服務攻擊或挖礦。

第二個CVE-2018-10988漏洞則是藏匿在掃地機器人的更新機制中,不過駭客必須實際接觸360掃地機器人,把惡意程式嵌入microSD卡中的更新文件夾,根據所植入的惡意程式控制掃地機器人,甚至能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。

研究人員認為,這兩個安全漏洞可能也影響其它與360掃地機器人採用同樣視頻模組的IoT裝置,包含戶外監視器、數位錄影機(DVR)與智慧門鈴,或是其它由締奇代工的掃地機器人。

https://www.ithome.com.tw/news/124690

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。