国产360扫地机器人Diqee被曝存在安全漏洞秒变监视器

安全研究人员在360“缔奇"扫地机器人上发现两个漏洞，其中一个可自远端黑客扫地机器人，控制移动或观看扫地机器人拍摄的影像，或用于执行分散式阻断服务攻击或挖矿。

安全从业者Positive Technologies本周指出，由中国业者缔奇（Diqee）所生产的360扫地机器人含有两个安全漏洞，成功地开採将允许黑客自远端控制扫地机器人，甚至是拦截扫地机器所处Wi-Fi网路上所传送的资料。

360扫地机器人除了具备自动吸尘、扫地与拖地功能之外，还配备视讯摄影机以提供远端监控能力，售价为2999元人民币（约13,750元新台币）。

Positive在360扫地机器人上发现的第一个安全漏洞为CVE-2018-10987，该漏洞存在于 REQUEST_SET_WIFIPASSWD功能中，它是一个UDP（User Datagram Protocol）命令，黑客可藉由扫地机器人的MAC位址在网路上找到该装置，并传送一个UDP请求，就能以Superuser权限自远端执行命令。成功的开採还必须登入该装置，不过，许多360扫地机器人用户并未变更其预设名称与密码，而让攻击变得更简单。

此一漏洞允许黑客从远端控制360扫地机器人，包括让它移动或观看扫地机器人所拍摄的影像，也能用它来执行分散式阻断服务攻击或挖矿。

第二个CVE-2018-10988漏洞则是藏匿在扫地机器人的更新机制中，不过骇客必须实际接触360扫地机器人，把恶意程式嵌入microSD卡中的更新文件夹，根据所植入的恶意程式控制扫地机器人，甚至能拦截扫地机器人所处Wi-Fi网路上所传递的任何资讯。

研究人员认为，这两个安全漏洞可能也影响其它与360扫地机器人採用同样视频模组的IoT装置，包含户外监视器、数位录影机（DVR）与智慧门铃，或是其它由缔奇代工的扫地机器人。