研究人員在掃地機器人上發現兩個漏洞,其中一個可自遠端駭客掃地機器人,控制移動或觀看掃地機器人拍攝的影像,或用於執行分散式阻斷服務攻擊或挖礦。
資安業者Positive Technologies本周指出,由中國業者締奇(Diqee)所生產的360掃地機器人含有兩個安全漏洞,成功地開採將允許駭客自遠端控制掃地機器人,甚至是攔截掃地機器所處Wi-Fi網路上所傳送的資料。
360掃地機器人除了具備自動吸塵、掃地與拖地功能之外,還配備視訊攝影機以提供遠端監控能力,售價為2999元人民幣(約13,750元新台幣)。
Positive在360掃地機器人上發現的第一個安全漏洞為CVE-2018-10987,該漏洞存在於 REQUEST_SET_WIFIPASSWD功能中,它是一個UDP(User Datagram Protocol)命令,駭客可藉由掃地機器人的MAC位址在網路上找到該裝置,並傳送一個UDP請求,就能以Superuser權限自遠端執行命令。成功的開採還必須登入該裝置,不過,許多360掃地機器人用戶並未變更其預設名稱與密碼,而讓攻擊變得更簡單。
此一漏洞允許駭客從遠端控制360掃地機器人,包括讓它移動或觀看掃地機器人所拍攝的影像,也能用它來執行分散式阻斷服務攻擊或挖礦。
第二個CVE-2018-10988漏洞則是藏匿在掃地機器人的更新機制中,不過駭客必須實際接觸360掃地機器人,把惡意程式嵌入microSD卡中的更新文件夾,根據所植入的惡意程式控制掃地機器人,甚至能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。
研究人員認為,這兩個安全漏洞可能也影響其它與360掃地機器人採用同樣視頻模組的IoT裝置,包含戶外監視器、數位錄影機(DVR)與智慧門鈴,或是其它由締奇代工的掃地機器人。