Эти дроиды видели вас: робот-пылесос Dongguan Diqee легко превратить в шпиона с камерой

Опубликовано at 13:42
80 0

Эксперты Positive Technologies выяснили, что китайский робот-пылесос Dongguan Diqee 360 (а может и все пылесосы этого производителя) легко использовать хакерам для прослушки, видеонаблюдения и перехвата конфиденциальных данных.

«Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, — Георгий Зайцев, специалист отдела анализа приложений Positive Technologies.

Эксперт отмечает, что стать частью ботнета еще не самый худший сценарий для пылесоса, а точнее для его владельца. Dongguan Diqee 360 снабжен Wi-Fi-приемником, веб-камерой с поддержкой режима ночного видения и системой управления со смартфона. То есть, взломанный пылесос превращается в идеального шпиона, который видит даже в темноте.

Специалисты Positive Technologies нашли сразу несколько уязвимостей в пылесосе. Во-первых, на устройстве можно удаленно выполнить код. Злоумышленник может обнаружить пылесос в сети, подобрав его MAC-адрес, и отправить специально сформированный запрос, получив права суперпользователя. Для атаки необходима аутентификация на устройстве; получению доступа способствуют предустановленные сочетания логина и пароля (admin: 888888) на многих экземплярах данной модели. Как правило, они остаются неизменными.

Другая дыра требует физического доступа к пылесосу: если обновить его с помощью microSD-карты, система обновления запускает файл прошивки из папки upgrade_360 без проверки цифровой подписи и с правами суперпользователя. Хакер может воспользоваться этой дырой и получить удаленный доступ уже в два шага.

Аналогичным ошибкам, предположительно, могут быть подвержены и другие IoT-устройства, функционирующие на базе видеомодулей, использованных в пылесосах Dongguan Diqee 360, — производитель выпускает также камеры наружного видеонаблюдения, видеорегистраторы и умные дверные звонки.

Подписываемся, следим @CyberAgency

Related Post

Национальная криптовалюта — гарантии, прибыль, тотальный контроль

Опубликовано - 16.10.2017 0
«Как вообще будет создана национальная криптовалюта — вопрос с тремя вопросительными знаками, потому что любая криптовалюта отрицает любое регулирование», —…

Zerolink запускает тест на анонимность транзакций

Опубликовано - 19.12.2017 0
Zerolink, который использует решение для микширования монет на основе Coinjoin, объявил о проведении широкомасштабного теста анонимности. Благодаря стресс-тестированию Zerolink, разработчик…

Добавить комментарий