現時智能家居產品都連上網,方便用戶操作管理,但這些連接互聯網的產品,有機會被不法份子入侵,甚至惡用。資訊保安公司就發現,有中國製具備 360 度視像鏡頭、Wi-Fi 上網的智能吸塵機械人,由於系統保護性能不足,如被黑客利用,家居每一個角落都有機會被監視。
韓國資訊保安公司 Positive Technologies 研究人員發現,問題發生於中國廣東省東莞市智能家居公司 Diqee(締奇)生產的「360攝像頭智能打掃機械人」。這個機械人擁有一個 360 度視像鏡頭,可透過手機遙距控制,用戶可隨時留意家中的任何變化,價格為 2,999 人民幣(約港幣HK$3,500)。
該裝置漏洞發生在「REQUEST_SET_WIFIPASSWORD」函數。如產品被黑客知悉其 MAC 網絡裝置識別位址,另用戶沒有更改裝置密碼,黑客就能利用預設登入資料(用戶名稱:admin/密碼:888888),再從破解該函數來取得系統管理者權限,從而實行黑客指定的遙距程式碼,屬 CVE-2018-10987 網絡漏洞。在此機械人中亦被發現 CVE-2018-10988 漏洞,但黑客需要在 SD 卡插糟上插上 SD 卡才可攻破。
保安公司研究人員指,黑客有可能遠距離操控打掃機械人,或竊取鏡頭映像,令這部打掃機變成一部裝上車輪的盜聽器。
保安公司已聯絡有關生產商,但到目前為止生產商仍未對有關漏洞進行修補。打掃機械人產品附有一個物理遮蓋,想保障個人私隱的用戶可以物理方式掩蓋視像鏡頭。
保安公司指締奇生產的其他產品如戶外攝像鏡頭、智能門鐘、數碼錄影裝置,以及其 OEM 產品都可能隱藏這些漏洞。
資料來源:TechCrunch