國產360掃地機器人Diqee被曝存在安全漏洞秒變監視器

安全研究人員在360「締奇"掃地機器人上發現兩個漏洞，其中一個可自遠端黑客掃地機器人，控制移動或觀看掃地機器人拍攝的影像，或用於執行分散式阻斷服務攻擊或挖礦。

安全從業者Positive Technologies本周指出，由中國業者締奇（Diqee）所生產的360掃地機器人含有兩個安全漏洞，成功地開採將允許黑客自遠端控制掃地機器人，甚至是攔截掃地機器所處Wi-Fi網路上所傳送的資料。

360掃地機器人除了具備自動吸塵、掃地與拖地功能之外，還配備視訊攝影機以提供遠端監控能力，售價為2999元人民幣（約13,750元新台幣）。

Positive在360掃地機器人上發現的第一個安全漏洞為CVE-2018-10987，該漏洞存在於 REQUEST_SET_WIFIPASSWD功能中，它是一個UDP（User Datagram Protocol）命令，黑客可藉由掃地機器人的MAC位址在網路上找到該裝置，並傳送一個UDP請求，就能以Superuser許可權自遠端執行命令。成功的開採還必須登入該裝置，不過，許多360掃地機器人用戶並未變更其預設名稱與密碼，而讓攻擊變得更簡單。

此一漏洞允許黑客從遠端控制360掃地機器人，包括讓它移動或觀看掃地機器人所拍攝的影像，也能用它來執行分散式阻斷服務攻擊或挖礦。

第二個CVE-2018-10988漏洞則是藏匿在掃地機器人的更新機制中，不過駭客必須實際接觸360掃地機器人，把惡意程式嵌入microSD卡中的更新文件夾，根據所植入的惡意程式控制掃地機器人，甚至能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。

研究人員認為，這兩個安全漏洞可能也影響其它與360掃地機器人採用同樣視頻模組的IoT裝置，包含戶外監視器、數位錄影機（DVR）與智慧門鈴，或是其它由締奇代工的掃地機器人。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！