Уязвимость робота пылесоса дает хакерам доступ к личным данным.

Diqee 360. Шпион в вашем доме

С помощью уязвимости робота пылесоса Dongguan Diqee киберпреступники могут наблюдать за хозяевами и красть их персональные данные
Так же есть опасность, в том что пылесосы IoT можно объединить в ботнет для организации DDoS-атак.

DIQEE-360

Две уязвимости, обнаруженные в Diqee 360

Одной из двух уязвимостей, CVE-2018-10987 является проблема при удаленном выполнении кода. Его можно использовать в ботнете, чтобы добывать биткойн, а также для DDoS-атак.
Эта уязвимость позволяет злоумышленникам получить права суперпользователя, что дает возможность дистанционно управлять им, просматривать видео и изображения и физически перемещать робота.
Потенциальный хакер может обнаружить устройство в незащищенной сети и перехватить запросы UDP. В результате злоумышленник может получить контроль над переменной % s. Чтобы добиться успеха, нужно пройти аутентификацию. Однако это не сложно, так как подавляющее большинство устройств имеют одинаковое имя пользователя и пароль администратора: 888888.
Когда дело доходит до второй уязвимости, CVE-2018-10988 не может позволить хакеру управлять роботом, но дает возможность получать не зашифрованные личные данные, такие как изображения, электронные письма, видео, которые были переданы с других устройств в одной сети.
Эта уязвимость появляется в механизме обновления устройства. Что делает ее менее опасной, так как необходимо физическое взаимодействие, чтобы использовать ошибку.
Уязвимости официально представлены Positive Technologies, и компания была предупреждена 15 марта 2018 года.

Рекомендации: обновить учетные данные по умолчанию

Однако информация об исправлениях упомянутых уязвимостей отсутствует. Вместо этого Dongguan Diqee рекомендует пользователям изменять свои имена и пароли по умолчанию.
Пользователи могут связаться с устройством после его получения и изменить пароль сразу после завершения привязки. После изменения имя пользователя и пароль по умолчанию недействительны.

Похожие записи