原标题:中国制扫地机器人Diqee 360被爆含有安全漏洞
示意图,与新闻事件无关。
图片来源:Diqee
资安业者Positive△Technologies本周指出,由中国业者缔奇(Diqee)所生产的360扫地机器人含有两个安全漏洞,成功地开采将允许骇客自远端控制扫地机器人,甚至是拦截扫地机器所处Wi-Fi网络上所传送的资料。
360扫地机器人除了具备自动吸尘、扫地与拖地功能之外,还配备视讯摄影机以提供远端监控能力,售价为2999元人民币(约13,750元新台币)。
Positive在360扫地机器人上发现的第一个安全漏洞为CVE-2018-10987,该漏洞存在于 REQUEST_SET_WIFIPASSWD功能中,它是一个UDP(User△Datagram△Protocol)命令,骇客可借由扫地机器人的MAC位址在网络上找到该装置,并传送一个UDP请求,就能以Superuser权限自远端执行命令。成功的开采还必须登入该装置,不过,许多360扫地机器人用户并未变更其预设名称与密码,而让攻击变得更简单。
此一漏洞允许骇客从远端控制360扫地机器人,包括让它移动或观看扫地机器人所拍摄的影像,也能用它来执行分散式阻断服务攻击或挖矿。
第二个CVE-2018-10988漏洞则是藏匿在扫地机器人的更新机制中,不过骇客必须实际接触360扫地机器人,把恶意程式嵌入microSD卡中的更新文件夹,根据所植入的恶意程式控制扫地机器人,甚至能拦截扫地机器人所处Wi-Fi网络上所传递的任何资讯。
研究人员认为,这两个安全漏洞可能也影响其它与360扫地机器人采用同样视频模组的IoT装置,包含户外监视器、数位录影机(DVR)与智慧门铃,或是其它由缔奇代工的扫地机器人。
相关:
实时热点(南山)据通信人家园论坛网友爆料,中国邮政集团公司总经理、党组书记,中国邮政储蓄银行股份有限公司董事长、党委书记李国华将上任中国联通集团总经理,明天...此后中国联通总经理一职始终空着,今天有消息称中国
图片来源: Oracle 甲骨文于本周二(7/17)释出的每季例行性重大修补更新(Critical△Patch△Update,CPU)修补了334个安全漏洞,超越了去年7月修补的308个漏洞,写下历史新纪录。甲骨文的每季修补规模之所以如此庞大
示意图,与新闻事件无关。 图片来源: Apple 今年初苹果正式将iCloud资料中心营运转交给中国当地ISP贵州云上,现在这个资料中心将把用户资料储存于国营电信公司中国电信。本周中国电信宣布和云上贵州6月签定《基础设
Apple 确认中国 iCloud 数据再度迁移 | 香港 UNWIRE.HK 玩生活.乐科技
去年 7 月 Apple 跟大陆的云上贵州签订合作,协议指今年 2 月 28 日开始,大陆的 iCloud 服务将会有云上贵州负责营运。在 6 月底云上贵州跟大陆电讯商中国电信旗下的天翼云签署基础设施协议,后者会联同云上贵州一起
行动支付太high,中国抢救人民币大作战,着手整治拒收现金的行为
行动支付蓬勃发展的中国已造成某些商家拒收现金的现象,为了维护人民币的法定地位,中国人民银行在上周五(7/13)发出公告,表示将着手整治拒收现金问题,规范市场对支付方式的选择与应用。由南华早报、Abacus与创投