1. Новости
Заметки пользователей
20.07.2018 12:00
PDF
1384
0

Взломать можно всё, включая пылесос

Роботы-пылесосы можно использовать для прослушки, видеонаблюдения и перехвата данных,  – к такому выводу пришли специалисты Positive Technologies Леонид Кролле и Георгий Зайцев.

Как сообщают на сайте компании, уязвимости обнаружены  в роботах-пылесосах Dongguan Diqee 360. 

"Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, – отмечает Георгий Зайцев, специалист отдела анализа приложений Positive Technologies.
Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире".

Первая угроза CVE-2018-10987 связана с возможностью удалённого выполнения кода на устройстве. Хакер может подобрать MAC-адрес пылесоса, обнаружить утсройство в сети и отправить специально сформированный запрос, в результате которого на пылесосе будет выполнена команда с правами суперпользователя.

С помощью уязвимости CVE-2018-10988, которая имеет локальный характер, атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты. После установки карты в корпус пылесоса система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя. Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его - и получить возможность удаленного выполнения кода на устройстве. На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике.

0 комментариев
Оставлять комментарии могут только авторизованные пользователи