想不到吧,你家的扫地机器人可能被黑客用来监视你的生活

分享到:

夜深人静。在角落沉睡的扫地机器人忽然被某种神秘力量唤醒,开启了自己的夜视技能。它循着移动轨迹慢慢靠近主卧,一点一点接近正中间隆起一团的床。近一点,再近一点。一个头,一双脚,一个人。手机那头控制机器人移动并实时监控主卧的女主人松了一口气了,警报解除,老公出轨风险排除。

以上情景纯属虚构,但扫地机器人化身窥屏者却不是梦。

QQ浏览器截图_20180726233653_26EB0F3E93574204ADC371EA6B5D5308

最近,Positive Technologies 的安全研究员公布了缔奇 360 智能扫地机器人的两大漏洞,通过它们黑客能拿下超级用户权限在设备上运行恶意代码,完全控制设备。

QQ浏览器截图_20180726233658_04CC8320A8B042749B46315EF3AEFAA3

“与其他物联网设备一样,这些扫地机器人受到攻击后会‘认贼作父’,并成为黑客搭建的僵尸网络中的一个个节点,帮他们发动DDos 攻击。”Positive Technologies 网络安全部门主管Leigh-Anne Galloway 解释道。

不过,玩这种手法的黑客只能算菜鸟,进阶版是由于缔奇扫地机器人能连接Wi-Fi 且搭载了夜视摄像头,可使用智能手机控制其运行轨迹,因此黑客可以通过它秘密监视屋主。

在家私密的一举一动都会被有心人偷窥,甚至传播到网上,想想就可怕。

这两个神秘漏洞是 CVE-2018-10987 和 CVE-2018-10988。其中,第一个漏洞可以被远程利用,而第二个则需要黑客对设备进行物理访问。

虽说想利用第一个Bug 黑客首先得经过身份验证,但Positive Technologies 表示,所有缔奇360 设备的管理员账户都使用了888888 这样简单的默认密码,而知道要修改默认密码的用户只是极少数,因此黑客简直是如入无人之境。

经过身份验证的黑客能发送一个专门打造的 UDP 数据包,从而在扫地机器人上执行指令。这个 Bug 出现在 REQUEST_SET_WIFIPASSWD 功能上(UDP 指令153)。黑客的UDP 数据包会运行 /mnt/skyeye/mode_switch.sh %s,而他们对 %s 的变量拥有裁量权。

第二个漏洞虽然需要黑客对设备进行物理访问,但只要将一张 microSD 卡插入扫地机器人并将设备固件替换成恶意版本就能利用。

扫地机器人的固件中自带固件升级进程,它会在 microSD 卡的根目录中寻找升级包。一旦找到“升级包”,它就会执行代码,没有数字签名也照做不误。

另外,Positive Technologies 警告称这两个漏洞可能还会影响缔奇公司旗下使用了这套脆弱代码的其他设备,也就是说,缔奇的数字录像机、监控摄像头和智能门铃恐怕也难逃黑客黑手。

QQ浏览器截图_20180726233702_091C1E03B0E840a7965EEA81A1346D7D

所以,这两个漏洞已经被修复了吗?

并没有,据说发现漏洞后,Positive Technologies 就通知了缔奇公司,还给了它们不少时间来修补漏洞。未收到回应的 Positive Technologies 随后向有关部门正式提交了这两个漏洞,今年5月它们还在 PHDays 安全论坛上谈到了这两个漏洞发现。

不过到现在为止,Positive Technologies 都不知道这两个漏洞是否已经被修复了。

当然,截止文章发表前,缔奇的发言人都没有回应关于漏洞修补的提问。

事实上这并非安全研究人员首次在扫地机器人固件中发现Bug 了,黑客的目的无一例外都是控制设备并监视屋主。此前,Check Point 的研究人员还在LG 智能家居设备中发现过类似的Bug。去年,Check Point 甚至通过一个视频展示了如何控制扫地机器人并对屋主进行监控。

可惜的是, 厂商面对漏洞的反应总是“很慢”。

 

 

 

 

 

了解更多:

访问意法半导体ST MCU中文官网STM32/STM8中文社区

最新的32位Cortex-M单片机STM328位STM8单片机产品信息;

STM32中文资料、 STM32参考设计ST MCU技术培训STM32开发板活动

STM32单片机微信 
继续阅读
智能物联网如何将人工智能的力量带入物联网?

星纵LoRaWAN基站网关具备广覆盖、低功耗、高性价比、高性能、高可配置等特性。支持半/全双工无线通信服务,最高可支持16通道收发数据,并通过有线、蜂窝或Wi-Fi多种网络回传。内置永久免费的网络服务器,运营成本低。

叫停1000台订单,沃尔玛为什么不再使用机器人?

怎么“用好”机器人?这是一项系统工程。丘吉尔说,不要浪费一场危机。同样,新冠疫情带来停工裁员、企业倒闭的同时,也给自动化转型带来了机遇。在疫情期间,由于社交距离和居家隔离令的要求,零售行业的机器人需求激增。美国一家机器人公司Brain Corp 公布的数据显示,今年第一季度,美国零售商使用机器人的中位数比去年同期增长了13.8%,在第二季度增长了24%。

手机环境变化 华为寻求物联网突破

自从被美国加入“实体清单”以来,尤其是今年禁令升级后,华为的处境便有些艰难,尤其是手机业务受供货影响较大,因此华为消费者业务今年把更多的精力放在了物联网市场。11月5日,华为消费者BG HiLink生态总经理闪罡透露,截至目前,华为2020年智能生态产品销量同比2019年增长500%。

研究人员设计军事机器人 可自行决定如何越过障碍物

机器人在环境中移动的最有效方式之一是车轮在相对平稳的地形上移动。然而,当涉及到克服某些类型的障碍物时,轮子并不是最有效的旅行方式。例如,腿可以帮助机器人攀爬楼梯等障碍物。德克萨斯A&M大学的科学家与DARPA合作,为军事应用制造机器人,能够在有或没有人类干预的情况下,确定轮子还是腿更适合穿越地形。

亚马逊大力收购机器人公司,意在未来建立机器人帝国

亚马逊花了六年时间,才让10万个机器人在他们地仓库里工作。但就在过去两年,这个数字已经翻了一番,达到了20万个机器人。亚马逊正在建立机器人帝国,投资价值四千万美元的机器人实验室将于2021年开放。那么亚马逊机器人的技术未来会是什么样呢?人们还会在仓库里继续工作吗?