Робот-пылесос оказался шпионом

Исследователи компании Positive Tehcnologies Леонид Кролле и Георгий Зайцев обнаружили уязвимости робота-пылесоса Dongguan Diqee 360 китайского производителя Diqee. Их эксплуатация позволяет злоумышленникам взять устройства под контроль с не самыми приятными для владельцев последствиями. Первая уязвимость, CVE-2018-10987, может быть проэксплуатирована дистанционно. Для этого хакерам необходимо знать пароль административной учетной записи робота-пылесоса. Однако об этом «позаботились» сами производители: по словам исследователей, практически все пылесосы Dongguan Diqee 360 поставляются с предустановленным паролем 888888. А большинство пользователей, разумеется, не дает себе труда его изменить.

Эксплуатация второй уязвимости, CVE-2018-10988, требует физического доступа к устройству. Но и в этом случае злоумышленникам не нужно делать ничего сверхъестественного: им достаточно подключить к пылесосу карту microSD с вредоносной версией прошивки. В результате хакеры получают полный контроль над пылесосом, и опасность состоит, конечно, не в том, что они будут плохо убирать квартиру владельца. Как и любое устройство интернета вещей, робот-пылесос может быть использован для участия в DDoS-атаках. Но еще хуже то, что он может шпионить за собственными владельцами: пылесосы оснащаются wi-fi-модулем и видеокамерой с режимом ночного видения. Исследователи уведомили компанию Diqee о проблемах еще в мае. Однако и по сей день нет никакой информации о том, выпущены ли обновления ПО, устраняющие уязвимости.