国内制造商缔奇DIQEE生产的扫地机被发现安全漏洞
国外安全公司日前在国内制造商缔奇股份生产的智能扫地机中发现漏洞允许攻击者远程控制已经联网的设备。
通过安全漏洞攻击者最大限度可以直接远程控制扫地机并且可以监视扫地机所处局域网中的其他设备网络流。
客观上说本次被发现的安全漏洞并不算是非常严重的级别,因为攻击者必须获得扫地机固件的账号以及密码。
然而遗憾的是多数用户根本没改过密码:
缔奇扫地机固件中内置联网模块存在某个UDP命令,攻击者可以通过扫地机的硬件地址在网络上查找该设备。
如果扫描到的话只需要传送UDP请求即可通过超级用户权限执行远程命令,不过攻击者还需要登陆到设备上。
但是多数用户购买缔奇扫地机后并未变更过默认名称和密码,因此攻击者只需要通过预设账号即可登陆设备。
攻击者可以远程监控用户:
此次漏洞最大的危害莫过于扫地机自带的摄像功能,因为攻击者可以通过摄像功能监视用户们在家中的生活。
本来缔奇扫地机摄像功能是帮助用户控制移动和拍摄景象的,但毕竟攻击者可以完全控制设备因此监视无碍。
所幸扫地机的摄像头能够拍摄的场景有限因此并不能完全监视用户,所以及时变更密码是个必须要做的操作。
用来挖矿或者监视局域网信息流:
还有个安全漏洞处于缔奇扫地机的固件更新机制中,不过想要利用该漏洞的话需要物理接触扫地机难度较大。
攻击者可以将恶意程序嵌入扫地机存储卡的更新文件夹中,然后根据恶意软件可用来挖矿或者劫持网络流等。
研究人员认为上述两个安全漏洞可能影响与扫地机采用相同模组的物联网设备,包括智能门铃和监控摄像头。
所以不论是缔奇生产的扫地机还是缔奇代工生产的其他品牌扫地机,都应该及时变更密码提高设备的安全性。
另外缔奇官网到现在还没有关于此事件的任何消息,按理说缔奇应该立即发布新版固件将上述安全漏洞修复。