Інтернет

Взломать можно всё, включая пылесос

1

Роботы-пылесосы можно использовать для прослушки, видеонаблюдения и перехвата данных,  – к такому выводу пришли специалисты Positive Technologies Леонид Кролле и Георгий Зайцев.

Как сообщают на сайте компании, уязвимости обнаружены  в роботах-пылесосах Dongguan Diqee 360.

«Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, – отмечает Георгий Зайцев, специалист отдела анализа приложений Positive Technologies.

Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире».

Первая угроза CVE-2018-10987 связана с возможностью удалённого выполнения кода на устройстве.

Хакер может подобрать MAC-адрес пылесоса, обнаружить устройство в сети и отправить специально сформированный запрос , в результате которого на пылесосе будет выполнена команда с правами суперпользователя.С помощью уязвимости CVE-2018-10988, которая имеет локальный характер, атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты.

После установки карты в корпус пылесоса система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя.

Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его — и получить возможность удаленного выполнения кода на устройстве.

На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике.

Читайте також -  Google у рамках експерименту видалить новини видавців ЄС із пошукових результатів

1 Comment

  1. … [Trackback]

    […] Read More Info here to that Topic: portaltele.com.ua/news/internet/vzlomat-mozhno-vsyo-vklyuchaya-pylesos.html […]

Leave a reply

error: Вміст захищено!!!