近日,Positive Technologies公司的两位安全研究员Leonid Krolle和Georgy Zaytsev公布了影响到缔奇(Diqee)360扫地机器人的两个漏洞的相关信息。
Diqee 360是由缔奇公司生产的一款智能扫地机器人,除了具备自动吸尘、扫地与拖地等功能之外,还配备有摄像头以提供远程控制视频监控能够,目前的售价为2999元人民币。
Leonid Krolle和Georgy Zaytsev表示,这两个漏洞允许攻击者在具有超级用户特权的设备上运行恶意代码,并有效地对其进行接管。
“与其他任何物联网设备一样,这些扫地机器人可能被整合到僵尸网络中以进行DDoS攻击。” Positive Technologies的网络安全主管Leigh-Anne Galloway说,“但对于其使用者来说,这并不是最糟糕的情况。由于Diqee 360具有Wi-Fi功能,带有夜视功能的网络摄像头和智能手机控制的导航功能,攻击者可能会暗中监视其使用者。”
这两个漏洞分别是CVE-2018-10987和CVE-2018-10988。第一个可以通过远程利用,而第二个需要对设备的物理访问。
第一个漏洞只能由经过身份验证的攻击者利用,但Positive Technologies表示,所有Diqee 360扫地机器人都为管理员帐户提供了默认密码888888,很少会有用户对其进行更改,这使得漏洞利用相对来说并不那么困难。
这个漏洞存在于在函数REQUEST_SET_WIFIPASSWD(UDP命令153)中,黑客可以借助扫地机器人的MAC位址在网络上找到它。而经过身份验证的攻击者完全可以发送特制的UDP数据包,并以root身份在Diqee 360上执行任意命令。
对于第二个漏洞的利用相对困难,因为需要物理访问。它存在于Diqee 360的更新机制中,攻击者可以将恶意软件植入到microSD卡中,并将其插入Diqee 360。然后,利用恶意软件来控制Diqee 360,甚至能够拦截Diqee 360所处Wi-Fi网络中所进行的任何通信。
Positive Technologies警告说,值得注意的是,这两个漏洞不单单只影响到Diqee 360,可能也会影响到由缔奇公司生产并在售的其他产品,这可能包括数字视频录像机、监控摄像头和智能门铃。