締奇(Diqee)所生產的360掃地機器人內涵兩個漏洞,駭客能夠藉此觀看掃地機器人所拍攝的影像。(網頁截圖)
【大紀元2018年07月23日訊】(大紀元記者陳懿勝台灣台北綜合報導)為了方便,許多家庭選擇使用掃地機器人清潔居家環境,且為了方便操作管理,都會透過網路連接產品。但資訊保安公司Positive Technologies發現,由中國業者締奇(Diqee)所生產的360掃地機器人內涵兩個漏洞,駭客能夠遠端控制掃地機器人,包括讓它移動或觀看掃地機器人所拍攝的影像。
締奇生產的「360鏡頭智慧掃地機器人」除了具備自動吸塵、掃地與拖地功能之外,還有一個360度鏡頭,可透過手機遠端控制,讓用戶可以隨時監看家中的狀況。
Positive Technologies發現,「CVE-2018-10987」漏洞存在於REQUEST_SET_WIFIPASSWD功能中,如果駭客知悉其MAC網路裝置辨識位址,再加上用戶沒有更改裝置密碼,駭客就能利用預設登入資料取得權限,讓掃地機器人從遠端執行命令。
這個漏洞可以讓機器人移動,或觀看掃地機器人所拍攝的影像,甚至用來執行分散式阻斷服務攻擊,等同於讓掃地機器人裝上輪子的竊聽器。
另一個漏洞則是「CVE-2018-10988」,藏匿在掃地機器人的更新機制中,不過駭客必須要把惡意程式嵌入microSD卡,並插上SD卡才能夠控制掃地機器人。若駭客成功入侵,就能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。
研究人員認為,締奇生產的其它產品如戶外攝影機、智慧門鈴、數位錄影裝置以及其OEM產品,其中都可能內藏有這些漏洞。◇#
責任編輯:杜文卿