你当前所在的位置: 主页 > www93342.com > 正文

小心!黑客正利用你家的扫地机器人监视你

更新时间:2021-09-14

  在角落沉睡的扫地机器人忽然被某种神秘力量唤醒,开启了自己的夜视技能。它循着移动轨迹慢慢靠近主卧,一点一点接近正中间隆起一团的床。

  一个头,一双脚,一个人。手机那头控制机器人移动并实时监控主卧的女主人松了一口气了,警报解除,老公出轨风险排除。

  最近,Positive Technologies 的安全研究员公布了缔奇 360 智能扫地机器人的两大漏洞,通过它们黑客能拿下超级用户权限在设备上运行恶意代码,完全控制设备。

  与其他物联网设备一样,这些扫地机器人受到攻击后会‘认贼作父’,并成为黑客搭建的僵尸网络中的一个个节点,帮他们发动 DDos 攻击。Positive Technologies 网络安全部门主管 Leigh-Anne Galloway 解释道。

  不过,玩这种手法的黑客只能算菜鸟,进阶版是由于缔奇扫地机器人能连接 Wi-Fi 且搭载了夜视摄像头,可使用智能手机控制其运行轨迹,因此黑客可以通过它秘密监视屋主。

  这两个神秘漏洞是 CVE-2018-10987 和 CVE-2018-10988。其中,第一个漏洞可以被远程利用,而第二个则需要黑客对设备进行物理访问。

  虽说想利用第一个 Bug 黑客首先得经过身份验证,但 Positive Technologies 表示,所有缔奇 360 设备的管理员账户都使用了 888888 这样简单的默认密码,而知道要修改默认密码的用户只是极少数白小姐论坛381818,因此黑客简直是如入无人之境。

  第二个漏洞虽然需要黑客对设备进行物理访问,但只要将一张 microSD 卡插入扫地机器人并将设备固件替换成恶意版本就能利用。

  扫地机器人的固件中自带固件升级进程,它会在 microSD 卡的根目录中寻找升级包。一旦找到 升级包 ,它就会执行代码,没有数字签名也照做不误。

  另外,Positive Technologies 警告称这两个漏洞可能还会影响缔奇公司旗下使用了这套脆弱代码的其他设备,也就是说,缔奇的数字录像机、监控摄像头和智能门铃恐怕也难逃黑客黑手。

  并没有,据说发现漏洞后,Positive Technologies 就通知了缔奇公司,还给了它们不少时间来修补漏洞。未收到回应的 Positive Technologies 随后向有关部门正式提交了这两个漏洞,今年 5 月它们还在 PHDays 安全论坛上谈到了这两个漏洞发现。

  不过到现在为止,Positive Technologies 都不知道这两个漏洞是否已经被修复了。

  事实上这并非安全研究人员首次在扫地机器人固件中发现 Bug 了,黑客的目的无一例外都是控制设备并监视屋主。此前,Check Point 的研究人员还在 LG 智能家居设备中发现过类似的 Bug。去年,Check Point 甚至通过一个视频展示了如何控制扫地机器人并对屋主进行监控。



    友情链接:

www.lh93342.com,海港城,93342.com,www93342.com,www-93342.com,开奖现场直播,最快开奖现场直播,168开奖现场直播。