国产扫地机器人缔奇360被曝存在安全漏洞 秒变监视器

监视器"/>

国产扫地机器人缔奇360被曝存在安全漏洞 秒变监视器

原文地址：

近日，Positive Technologies公司的两位安全研究员Leonid Krolle和Georgy Zaytsev公布了影响到缔奇（Diqee）360扫地机器人的两个漏洞的相关信息。

Diqee 360是由缔奇公司生产的一款智能扫地机器人，除了具备自动吸尘、扫地与拖地等功能之外，还配备有摄像头以提供远程控制视频监控能够，目前的售价为2999元人民币。

Leonid Krolle和Georgy Zaytsev表示，这两个漏洞允许×××者在具有超级用户特权的设备上运行恶意代码，并有效地对其进行接管。

“与其他任何物联网设备一样，这些扫地机器人可能被整合到僵尸网络中以进行DDoS×××。” Positive Technologies的网络安全主管Leigh-Anne Galloway说，“但对于其使用者来说，这并不是最糟糕的情况。由于Diqee 360具有Wi-Fi功能，带有夜视功能的网络摄像头和智能手机控制的导航功能，×××者可能会暗中监视其使用者。”

这两个漏洞分别是CVE-2018-10987和CVE-2018-10988。第一个可以通过远程利用，而第二个需要对设备的物理访问。

第一个漏洞只能由经过身份验证的×××者利用，但Positive Technologies表示，所有Diqee 360扫地机器人都为管理员帐户提供了默认密码888888，很少会有用户对其进行更改，这使得漏洞利用相对来说并不那么困难。

这个漏洞存在于在函数REQUEST_SET_WIFIPASSWD（UDP命令153）中，×××可以借助扫地机器人的MAC位址在网络上找到它。而经过身份验证的×××者完全可以发送特制的UDP数据包，并以root身份在Diqee 360上执行任意命令。

对于第二个漏洞的利用相对困难，因为需要物理访问。它存在于Diqee 360的更新机制中，×××者可以将恶意软件植入到microSD卡中，并将其插入Diqee 360。然后，利用恶意软件来控制Diqee 360，甚至能够拦截Diqee 360所处Wi-Fi网络中所进行的任何通信。

Positive Technologies警告说，值得注意的是，这两个漏洞不单单只影响到Diqee 360，可能也会影响到由缔奇公司生产并在售的其他产品，这可能包括数字视频录像机、监控摄像头和智能门铃。

转载于: