Меню категорий
SharesPro
21.07.2018 11:00
0
Уязвимость роботизированных пылесосов Dongguan Diqee 360

И снова пользователям напоминают, что незначительные удобства умного дома хороши до тех пор, пока кто-то не решит настроить одно из связанных с Wi-Fi устройств, которое вы впустили в свой дом, против вас.

Но пользователи, скорее всего, не думали, что это будет именно пылесос, не так ли?

Два исследователя корпоративной безопасности компании Positive Technologies обнаружили уязвимые места в линии роботизированных пылесосов Dongguan Diqee 360 и поделились этой информацией. Пылесосы, изготовленные китайским производителем Diqee, оснащены Wi-Fi и 360-градусной камерой для режима, который называется «динамический мониторинг». Этот режим превращает пылесос в устройство домашнего наблюдения. Камера - это то, о чем нужно беспокоиться.

Уязвимость удаленного кода, известная как CVE-2018-10987, может предоставить MAC-адреса устройств злоумышленнику, получившему права администратора системы. Согласно отчету, цифровой дефект заключается в функции REQUEST_SET_WIFI PASSWORD. Для ее использования требуется аутентификация, но по умолчанию используется комбинация имени пользователя и пароля – admin/888888.

Исследователи подозревают, что уязвимость роботизированного пылесоса Dongguan Diqee 360 может повлиять на другие использующие видеомодуль продукты, включая видеокамеры наружного наблюдения, интеллектуальные дверные звонки и видеорегистраторы. Компания Diqee также производит пылесосы, продаваемые под другими брендами, и аналитики предполагают, что репутация этих устройств также пострадает из-за этого.

Исследователи Positive Technologies говорят, что еще одна уязвимость, известная как CVE-2018-10988, также влияет на модель пылесоса, хотя для обеспечения компрометации машины требуется физический доступ через слот для SD-карт.

Пылесос оснащен «физическим барьером» для камеры – крышкой, которая в соответствии с заявлением производителя «решает проблему утечки конфиденциальной информации с оборудования». Positive Technologies сообщили изготовителю об обнаруженной уязвимости. Но ответной реакции еще не поступило.

«Как и любое другое устройство IoT, эти роботизированные пылесосы могут быть объединены в бот-сеть для атак DDoS. Однако это не самый худший сценарий, по крайней мере, для владельцев этой техники», - сказала Энн Галлоуэй, лидер в области Кибербезопасности Positive Technologies. «Поскольку в пылесосе есть Wi-Fi, веб-камера с ночным видением и навигационная система, управляемая смартфоном, злоумышленник может тайно шпионить за владельцем и даже использовать пылесос в качестве «микрофона на колесах» для максимального использования потенциала наблюдения».

Войдите, чтобы оставлять комментарии.

Получить консультацию