Брешь роботов-пылесосов позволяет шпионить за владельцами

23 июля 2018 г., понедельник

Уязвимость позволяет злоумышленникам подключиться к веб-камере пылесоса и проникнуть в другие устройства умного дома.

Специалисты Positive Technologies обнаружили бреши безопасности в роботах-пылесосах китайского вендора Dongguan Diqee. Злоумышленники могут эксплуатировать уязвимости для прослушки, видеонаблюдения и перехвата конфиденциальных данных.

Роботы-пылесосы Dongguan Diqee 360 оснащены WiFi-приемником, системой управления со смартфона и веб-камерой с поддержкой режима ночного видения. Это может позволить злоумышленникам не только скомпрометировать устройство, но и перехватить данные всей домашней сети WiFi. Исследователи обнаружили сразу две уязвимости, угрожающие безопасности пользователей.

Первая проблема безопасности — CVE-2018-10987 — предоставляет мошенникам возможность узнать MAC-адрес устройства и обнаружить его в Сети. Для совершения атаки необходимо пройти аутентификацию, но это несложно: пылесосы используют логин и пароль, установленные производителем по умолчанию — admin/888888. Получив права администратора, злоумышленник может удаленно отправить гаджету любую команду.

Для того чтобы воспользоваться второй уязвимостью, CVE-2018-10988, необходимо иметь физический доступ к технике. Преступники могут создать специальный скрипт и внедрить его с помощью microSD-карты, после чего система обновления запустит файл прошивки из папки upgrade_360, не проверив его цифровую подпись. Эта брешь не просто дает злоумышленнику возможность управлять устройством, но и открывает доступ к видео, фотографиям, сообщениям электронной почты и другим личным данным, передаваемым по WiFi.

Представитель производителя не сообщил о разработке обновлений, а лишь посоветовал пользователям сменить заданные по умолчанию имя и пароль.

“Как и любое IoT-устройство, умные пылесосы можно использовать, чтобы получить доступ к конфиденциальным данным, а также их можно объединить в ботнет для DDoS-атак или майнинга”, — заявила глава кибербезопасности Positive Technologies Ли-Энн Гэллоуэй (Leigh-Anne Galloway). Исследователи полагают, что подобные ошибки могут присутствовать во всех девайсах с видеомодулями, использующимися в Dongguan Diqee 360.

Личные данные владельцев IoT-устройств не находятся в безопасности, что подтверждается многими примерами. В 2017 году уязвимости были обнаружены в приложении LG для умного дома. При взломе аккаунта злоумышленники могли получить удаленный контроль над всей техникой в сети, включая веб-камеру пылесоса Hom-Bot.

Threatpost