Согласно сообщениям зарубежных СМИ, интеллектуальный робот с 360 камерами с функцией безопасности, созданный китайским брендом, имеет уязвимости безопасности и может подвергаться атакам со стороны хакеров, манипулируя роботом, чтобы проверить конфиденциальность дома пользователя.
В то время как некоторые высокопроизводительные роботизированные пылесосы, такие как iRobot Roomba 980, используют камеры, чтобы помочь им легче перемещаться дома, Diqee использует камеру для превращения устройства в систему мониторинга безопасности. Когда пылесос заряжается или идет дома, чтобы очистить ковер, пользователь может пройти камеру Удаленно осмотрите ситуацию дома.
Однако исследователи безопасности теперь обнаруживают, что у робота две уязвимости безопасности, которые делают его уязвимым для атаки. Первая уязвимость позволяет хакерам иметь привилегии суперпользователя на устройстве и дистанционно управлять ими, чтобы передвигаться дома, что немного жутко. Вторая уязвимость позволяет хакерам просматривать видеоконтент, снятый камерой.
Исследователи из расположенной в Бостоне компании по безопасности международной сети Positive Technologies обнаружили уязвимость, которая, как говорят, влияет на другие продукты, выпускаемые компанией Diqee, такие как дверные звонки и камеры безопасности и устройства для других марок.
Линг-Энн Галлоуэй (Leigh-Anne Galloway), глава подразделения Cyber Security Resilience, сказала: «Как и в случае с любым другим устройством IoT, эти роботы могут быть сгруппированы в бот-сети для DDoS-атак, но это даже не самое худшее для владельца. Поскольку у машины есть возможности Wi-Fi, а также с веб-камерой ночного видения и навигационной системой, управляемой смартфоном, злоумышленник может тайно контролировать конфиденциальность пользователя.
Positive Technologies объясняет, как удаленно получать привилегии суперпользователя и не требует физического доступа к машине, а пользовательское имя пользователя по умолчанию использует «admin», а пароль использует «888888», что делает этот процесс намного проще.
Тем не менее, для управления камерой хакеру необходим физический доступ к боту, и есть достаточно времени для установки SD-карты без «отсутствия проверки на цифровую безопасность», и перезапуск устройства заставит его выполнять обновление программного обеспечения, намеренно устанавливая вредоносное ПО без каких-либо проверок.
После этого хакер может управлять движением робота, получать доступ к своей камере и атаковать другие устройства в одной сети Wi-Fi. Конечно, уязвимость относительно менее опасна.
В октябре 2017 года исследователи безопасности Check Point обнаружили аналогичные уязвимости в подмашинах LG. Хакеры могут управлять устройствами Hom-Bot и получать доступ к видеопотокам в реальном времени с их камер. Эта уязвимость также может повлиять на LG ThinQ. Интеллектуальная домашняя система также может управлять другими подключенными устройствами, такими как интеллектуальные посудомоечные машины и стиральные машины.