中國製智慧掃地機器人被發現漏洞，鏡頭影像或可被第三者截取

[billy.ryoko]

現在智慧家居產品都連上網，方便用戶操作管理，但這些連接網路的產品，有機會被不法份子入侵，甚至遭盜用。資訊保安公司就發現，有中國製具備 360 度鏡頭、Wi-Fi 上網的智慧掃地機器人，由於系統保護性能不足，如果被駭客利用，家裡每個角落都有機會被監視。



南韓資訊保安公司 Positive Technologies 研究人員發現，問題發生在中國廣東省東莞市智慧家居公司 Diqee（締奇）生產的「360 鏡頭智慧掃地機器人」。這個機器人擁有一個 360 度鏡頭，可透過手機遠端控制，用戶可隨時留意家中的任何變化，價格為 2,999 人民幣（約台幣 13,759 元）。

該裝置漏洞發生在「REQUEST_SET_WIFIPASSWORD」函數。如果產品被駭客知悉其 MAC 網路裝置辨識位址，用戶也沒有更改裝置密碼，駭客就能利用預設登入資料（用戶名稱：admin／密碼：888888），再從破解該函數來取得系統管理者權限，進而執行駭客指定的遠端程式碼，屬 CVE-2018-10987 網路漏洞。在此機器人中也被發現 CVE-2018-10988 漏洞，但駭客需要在 SD 卡插槽插上 SD 卡才可攻破。

保安公司研究人員指，駭客有可能遠端操控掃地機器人，或竊取鏡頭影像，讓這部掃地機器人變成一部裝上輪子的竊聽器。

保安公司已聯絡有關生產商，但到目前為止生產商仍未對有關漏洞進行修補。該掃地機器人產品附有一個隱私保護蓋，想保障個人隱私的用戶可以先關閉鏡頭。

保安公司指締奇生產的其他產品如戶外攝影機、智慧門鈴、數位錄影裝置，以及其 OEM 產品都可能隱藏這些漏洞。



A vacuum vulnerability could mean your Roomba knockoff is hoovering up surveillance
（本文由 Unwire HK 授權轉載；圖片來源：Diqee）