Мы живем в прекрасное время, когда существует так много полезных устройств. Они помогают нам в повседневной жизни делать все проще и быстрее, а также берут на себя выполнение повседневных задач. Но иногда они могут усугубить ситуацию, как в случае с роботом-пылесосом, который может шпионить за вами.
Вакуум наблюдения
Исследователи Positive Technologies, компании по обеспечению безопасности предприятий, обнаружили уязвимости в роботах-пылесосах Dongguan Diqee 360.
Китайский производитель умных домов Diqee оснащает эти пылесосы Wi-Fi и 360-градусной камерой с режимом, который они называют «динамическим мониторингом». Он превращает ваш пылесос в устройство, которое может шпионить за вами. У вас только что был грязный пол, но теперь у вас есть что-то совершенно новое, о чем стоит беспокоиться.
Из-за CVE-2018-10987, уязвимости удаленного кода, злоумышленник может получить доступ к правам администратора системы MAC-адресов устройства. Уязвимость кроется в функции REQUEST_SET_WIFIPASSWD. Хотя для этого требуется аутентификация, это можно сделать, используя имя пользователя и пароль по умолчанию.
Это может повлиять не только на роботы-пылесосы: как предполагают исследователи, это может повлиять и на другие продукты, использующие тот же видеомодуль, например камеры наблюдения, умные дверные звонки и видеорегистраторы. Компания также продает другие пылесосы под другой торговой маркой.
Вторая уязвимость, CVE-2018-10988, также может повлиять на этот робот-пылесос, но для нее требуется физический доступ через слот для SD-карты.
Чтобы устранить эту уязвимость, у пылесоса есть защитная крышка для камеры, которая, по их утверждению, «решает утечку конфиденциальной информации с оборудования». Тем не менее, Positive Technologies по-прежнему считает, что в вакууме есть уязвимость.
«Как и любое другое устройство IoT, эти роботы-пылесосы могут быть объединены в ботнет для DDoS-атак, но это даже не худший сценарий, по крайней мере для владельцев», — сказал Ли- Энн Галлоуэй, руководитель отдела кибербезопасности Positive Technologies.
“Поскольку пылесос оснащен Wi-Fi, веб-камерой с ночным видением и навигацией, управляемой смартфоном, злоумышленник может тайно шпионить за владельцем и даже использовать пылесос как «микрофон на колесах» для максимального наблюдения. потенциал.”
Осторожно, покупатель
Как бы хорошо ни было иметь продукты для умного дома, многие из них сопряжены с рисками в виде обязательств. Многие из них небезопасны, а микрофоны и камеры еще больше усложняют ситуацию.
Первоначальный вопрос, который вам следует задать себе при покупке робота-пылесоса: действительно ли вам нужны эти «дополнительные функции». Нужна ли вам веб-камера ночного видения? Сколько времени вы пылесосите в темноте? Вам нужна возможность перемещаться по нему с помощью смартфона?
В таком повороте событий нет ничего удивительного. Каждый раз, когда вы приносите в свой дом продукт IoT, вы приветствуете уязвимости, а камеры, микрофоны и т. д. делают его еще более опасным, когда все, что вы пытаетесь сделать, это поддерживать чистоту в доме.
Очистка
Прежде чем покупать такое устройство, убедитесь, что вы знаете об опасностях. Это просто невозможно сказать достаточно. Что бы вы ни получили от установки камеры на пылесос, скорее всего, это не стоит потери конфиденциальности.
У вас есть робот-пылесос? Есть ли у него эти уязвимости? Или вы бы никогда не купили его именно из-за этих уязвимостей? Поделитесь с нами своим мнением в разделе комментариев.
Изображение предоставлено TechCrunch
