Дорогие читатели, Нашему шестнадцатилетнему, волонтёрскому и некоммерческому проекту для создания новой, современной версии N-N-N.ru, очень нужно посоветоваться касательно платформы нашего сайта – SYMFONY & DRUPAL 8. Платформа не простая, но обещаем – мы не займём много времени, просто нужна консультационная поддержка квалифицированного разраба. Если вы можете помочь, то связаться с нами можно на страницах Facebook.com здесь и здесь.

Роботы-пылесосы могут использоваться для шпионажа за владельцами

Специалисты Positive Technologies выявили уязвимости в роботах-пылесосах Dongguan Diqee 360. Этим проблемам могут быть подвержены устройства, выпускаемые Dongguan Diqee как под своей маркой, так и изготовленные для других производителей.

«Владельцы IoT-устройств не всегда меняют логин и пароль, установленные производителем. Проблема касается даже роутеров, где в 15 случаях из 100 оставляют заводские пароли. Поэтому исследованный пылесос, как и любой IoT-девайс, может пополнить армию ботнетов для участия в DDoS-атаках, – отмечает Георгий Зайцев, специалист отдела анализа приложений Positive Technologies. – Но для владельца это меньшее из зол. Учитывая наличие Wi-Fi-приемника, веб-камеры с поддержкой режима ночного видения и системы управления местоположением со смартфона, злоумышленник получает возможность скрытно наблюдать за владельцем, передвигая пылесос в необходимую ему точку в квартире».

Первая уязвимость CVE-2018–10987 связана с возможностью удаленного выполнения кода на устройстве. Злоумышленник может обнаружить пылесос в сети, подобрав его MAC-адрес, и отправить специально сформированный запрос, в результате которого на пылесосе будет выполнена команда с правами суперпользователя.

Вторая уязвимость CVE-2018–10988 имеет локальный характер: атакующий может использовать недостатки механизма обновления пылесоса с помощью microSD-карты. Хакер может записать специально сформированный скрипт на microSD-карту в папку upgrade_360, вставить ее в пылесос, перезапустить его – и получить возможность удаленного выполнения кода на устройстве. На устройство, в частности, может быть установлен сниффер для перехвата конфиденциальных данных в сетевом трафике.

По оценкам экспертов Positive Technologies, этим ошибкам могут быть подвержены и другие IoT-устройства, функционирующие на базе видеомодулей, использованных в пылесосах Dongguan Diqee 360, – камеры наружного видеонаблюдения, видеорегистраторы, умные дверные звонки.

Пожалуйста, оцените статью:
Пока нет голосов
Источник(и):

ko.com.ua