【大纪元2018年07月23日讯】(大纪元记者陈懿胜台湾台北综合报导)为了方便,许多家庭选择使用扫地机器人清洁居家环境,且为了方便操作管理,都会透过网路连接产品。但资讯保安公司Positive Technologies发现,由中国业者缔奇(Diqee)所生产的360扫地机器人内涵两个漏洞,骇客能够远端控制扫地机器人,包括让它移动或观看扫地机器人所拍摄的影像。
缔奇生产的“360镜头智慧扫地机器人”除了具备自动吸尘、扫地与拖地功能之外,还有一个360度镜头,可透过手机远端控制,让用户可以随时监看家中的状况。
Positive Technologies发现,“CVE-2018-10987”漏洞存在于REQUEST_SET_WIFIPASSWD功能中,如果骇客知悉其MAC网路装置辨识位址,再加上用户没有更改装置密码,骇客就能利用预设登入资料取得权限,让扫地机器人从远端执行命令。
这个漏洞可以让机器人移动,或观看扫地机器人所拍摄的影像,甚至用来执行分散式阻断服务攻击,等同于让扫地机器人装上轮子的窃听器。
另一个漏洞则是“CVE-2018-10988”,藏匿在扫地机器人的更新机制中,不过骇客必须要把恶意程式嵌入microSD卡,并插上SD卡才能够控制扫地机器人。若骇客成功入侵,就能拦截扫地机器人所处Wi-Fi网路上所传递的任何资讯。
研究人员认为,缔奇生产的其它产品如户外摄影机、智慧门铃、数位录影装置以及其OEM产品,其中都可能内藏有这些漏洞。◇#
责任编辑:杜文卿
