Роботы-пылесосы можно использовать для прослушки, видеонаблюдения и перехвата данных, – к такому выводу пришли специалисты Positive Technologies Леонид Кролле и Георгий Зайцев.
Как сообщают на сайте компании, уязвимости обнаружены в роботах-пылесосах Dongguan Diqee 360.
“Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, – отмечает Георгий Зайцев, специалист отдела анализа приложений Positive Technologies.
Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире”.
Первая угроза CVE-2018-10987 связана с возможностью удалённого выполнения кода на устройстве.
Хакер может подобрать MAC-адрес пылесоса, обнаружить устройство в сети и отправить специально сформированный запрос , в результате которого на пылесосе будет выполнена команда с правами суперпользователя.
С помощью уязвимости CVE-2018-10988, которая имеет локальный характер, атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты.
После установки карты в корпус пылесоса система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя.
Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его – и получить возможность удаленного выполнения кода на устройстве.
На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике.