首頁 科技 資訊安全

陸製掃地機器人有漏洞 小心家中影像被看光光

締奇(Diqee)所生產的360掃地機器人內含2個漏洞,駭客能夠藉此觀看掃地機器人所拍攝的影像。(網頁擷圖)
締奇(Diqee)所生產的360掃地機器人內含2個漏洞,駭客能夠藉此觀看掃地機器人所拍攝的影像。(網頁擷圖)

【記者陳懿勝/綜合報導】為了方便,許多家庭選擇使用掃地機器人清潔居家環境,並透過網路連接產品,以方便操作管理。但資安公司Positive Technologies發現,由中國業者締奇(Diqee)所生產的360掃地機器人,內含2個漏洞,駭客能遠端控制掃地機器人,包括讓它移動或觀看掃地機器人所拍攝的影像。

締奇生產的「360 鏡頭智慧掃地機器人」除了具備自動吸塵、掃地與拖地功能之外,還有一個360 度鏡頭,可透過手機遠端控制,讓用戶可以隨時監看家中的狀況。

Positive Technologies發現,「CVE-2018-10987」漏洞存在於REQUEST_SET_WIFIPASSWD功能中,如果駭客知悉其MAC網路裝置辨識位址,再加上用戶沒有更改裝置密碼,駭客就能利用預設登入資料取得權限,讓掃地機器人從遠端執行命令。這個漏洞可以讓機器人移動,或觀看掃地機器人所拍攝的影像,甚至用來執行分散式阻斷服務攻擊,等同於讓掃地機器人裝上輪子的竊聽器。

另一個漏洞則是「CVE-2018-10988」,藏匿在掃地機器人的更新機制中,不過駭客必須要把惡意程式嵌入microSD卡,並插上SD卡才能夠控制掃地機器人;若駭客成功入侵,就能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。

研究人員認為,締奇生產的其他產品如戶外攝影機、智慧門鈴、數位錄影裝置,以及其OEM產品,其中都可能內藏有這些漏洞。◇