vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Взломать можно всё, включая пылесос

Дата публикации: 20.07.2018
Количество просмотров: 771
Автор:

Роботы-пылесосы можно использовать для прослушки, видеонаблюдения и перехвата данных,  – к такому выводу пришли специалисты Positive Technologies Леонид Кролле и Георгий Зайцев.

Как сообщают на сайте компании, уязвимости обнаружены  в роботах-пылесосах Dongguan Diqee 360. 

"Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, – отмечает Георгий Зайцев, специалист отдела анализа приложений Positive Technologies.
Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире".

Первая угроза CVE-2018-10987 связана с возможностью удалённого выполнения кода на устройстве. Хакер может подобрать MAC-адрес пылесоса, обнаружить утсройство в сети и отправить специально сформированный запрос, в результате которого на пылесосе будет выполнена команда с правами суперпользователя.

С помощью уязвимости CVE-2018-10988, которая имеет локальный характер, атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты. После установки карты в корпус пылесоса система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя. Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его - и получить возможность удаленного выполнения кода на устройстве. На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/101741/vzlomat-mojno-vs-vklyuchaya-pyilesos.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться