国产360扫地机器人Diqee被曝存在安全漏洞秒变监视器

安全研究人员在360“缔奇"扫地机器人上发现两个漏洞,其中一个可自远端黑客扫地机器人,控制移动或观看扫地机器人拍摄的影像,或用于执行分散式阻断服务攻击或挖矿。

安全从业者Positive Technologies本周指出,由中国业者缔奇(Diqee)所生产的360扫地机器人含有两个安全漏洞,成功地开採将允许黑客自远端控制扫地机器人,甚至是拦截扫地机器所处Wi-Fi网路上所传送的资料。

360扫地机器人除了具备自动吸尘、扫地与拖地功能之外,还配备视讯摄影机以提供远端监控能力,售价为2999元人民币(约13,750元新台币)。

Positive在360扫地机器人上发现的第一个安全漏洞为CVE-2018-10987,该漏洞存在于 REQUEST_SET_WIFIPASSWD功能中,它是一个UDP(User Datagram Protocol)命令,黑客可藉由扫地机器人的MAC位址在网路上找到该装置,并传送一个UDP请求,就能以Superuser权限自远端执行命令。成功的开採还必须登入该装置,不过,许多360扫地机器人用户并未变更其预设名称与密码,而让攻击变得更简单。

此一漏洞允许黑客从远端控制360扫地机器人,包括让它移动或观看扫地机器人所拍摄的影像,也能用它来执行分散式阻断服务攻击或挖矿。

第二个CVE-2018-10988漏洞则是藏匿在扫地机器人的更新机制中,不过骇客必须实际接触360扫地机器人,把恶意程式嵌入microSD卡中的更新文件夹,根据所植入的恶意程式控制扫地机器人,甚至能拦截扫地机器人所处Wi-Fi网路上所传递的任何资讯。

研究人员认为,这两个安全漏洞可能也影响其它与360扫地机器人採用同样视频模组的IoT装置,包含户外监视器、数位录影机(DVR)与智慧门铃,或是其它由缔奇代工的扫地机器人。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180730G0PG0900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券