中國製掃地機器人Diqee 360被爆含有安全漏洞

資安業者Positive Technologies本周指出，由中國業者締奇（Diqee）所生產的360掃地機器人含有兩個安全漏洞，成功地開採將允許駭客自遠端控制掃地機器人，甚至是攔截掃地機器所處Wi-Fi網路上所傳送的資料。

360掃地機器人除了具備自動吸塵、掃地與拖地功能之外，還配備視訊攝影機以提供遠端監控能力，售價為2999元人民幣（約13,750元新台幣）。

Positive在360掃地機器人上發現的第一個安全漏洞為CVE-2018-10987，該漏洞存在於 REQUEST_SET_WIFIPASSWD功能中，它是一個UDP（User Datagram Protocol）命令，駭客可藉由掃地機器人的MAC位址在網路上找到該裝置，並傳送一個UDP請求，就能以Superuser權限自遠端執行命令。成功的開採還必須登入該裝置，不過，許多360掃地機器人用戶並未變更其預設名稱與密碼，而讓攻擊變得更簡單。

此一漏洞允許駭客從遠端控制360掃地機器人，包括讓它移動或觀看掃地機器人所拍攝的影像，也能用它來執行分散式阻斷服務攻擊或挖礦。

第二個CVE-2018-10988漏洞則是藏匿在掃地機器人的更新機制中，不過駭客必須實際接觸360掃地機器人，把惡意程式嵌入microSD卡中的更新文件夾，根據所植入的惡意程式控制掃地機器人，甚至能攔截掃地機器人所處Wi-Fi網路上所傳遞的任何資訊。

研究人員認為，這兩個安全漏洞可能也影響其它與360掃地機器人採用同樣視頻模組的IoT裝置，包含戶外監視器、數位錄影機（DVR）與智慧門鈴，或是其它由締奇代工的掃地機器人。