现在智慧家居产品都连上网,方便用户操作管理,但这些连接网络的产品,有机会被不法份子入侵,甚至遭盗用。资讯保安公司就发现,有中国制具备 360 度镜头、Wi-Fi 上网的智慧扫地机器人,由于系统保护性能不足,如果被骇客利用,家里每个角落都有机会被监视。
韩国资讯保安公司 Positive Technologies 研究人员发现,问题发生在中国广东省东莞市智慧家居公司 Diqee(缔奇)生产的“360 镜头智慧扫地机器人”。这个机器人拥有一个 360 度镜头,可透过手机远端控制,用户可随时留意家中的任何变化,价格为 2,999 人民币(约台币 13,759 元)。
该装置漏洞发生在“REQUEST_SET_WIFIPASSWORD”函数。如果产品被骇客知悉其 MAC 网络装置辨识位址,用户也没有更改装置密码,骇客就能利用预设登入资料(用户名称:admin/密码:888888),再从破解该函数来取得系统管理者权限,进而执行骇客指定的远端程式码,属 CVE-2018-10987 网络漏洞。在此机器人中也被发现 CVE-2018-10988 漏洞,但骇客需要在 SD 卡插槽插上 SD 卡才可攻破。
保安公司研究人员指,骇客有可能远端操控扫地机器人,或窃取镜头影像,让这部扫地机器人变成一部装上轮子的窃听器。
保安公司已联络有关生产商,但到目前为止生产商仍未对有关漏洞进行修补。该扫地机器人产品附有一个隐私保护盖,想保障个人隐私的用户可以先关闭镜头。
保安公司指缔奇生产的其他产品如户外摄影机、智慧门铃、数位录影装置,以及其 OEM 产品都可能隐藏这些漏洞。
- A vacuum vulnerability could mean your Roomba knockoff is hoovering up surveillance
(本文由 Unwire HK 授权转载;图片来源:Diqee)
