+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Власники пристроїв інтернету речей не завжди змінюють логін та пароль, встановлені виробником. Фахівці виявили вразливості у роботах-пилососах

Власники пристроїв інтернету речей не завжди змінюють логін та пароль, встановлені виробником. Фахівці виявили вразливості у роботах-пилососах

«Власники пристроїв інтернету речей не завжди змінюють логін та пароль, встановлені виробником. Проблема стосується навіть роутерів, де у 15 випадках зі 100 залишають заводські паролі. Тому досліджений пилосос, як і будь-який iot-девайс, може поповнити армію ботнетів для участі в DDoS-атаках. Але для власника це найменше зла. Враховуючи наявність Wi-Fi-приймача, веб-камери з підтримкою режиму нічного бачення та системи керування розташуванням зі смартфона, зловмисник отримує можливість потай спостерігати за власником, пересуваючи пилосос у необхідну йому точку в квартирі».

Перша загроза CVE-2018-10987 пов'язана з можливістю віддаленого виконання коду на пристрої. Зловмисник може виявити пилосос у мережі, підібравши його MAC-адресу, і надіслати спеціально сформований запит, в результаті якого на пилососі буде виконано команду з правами суперкористувача. Помилка є у функції REQUEST_SET_WIFIPASSWD (команда UDP 153). Для атаки потрібна автентифікація на пристрої; отриманню доступу сприяють встановлені поєднання логіна та пароля (admin: 888888) на багатьох примірниках даної моделі.

Друга вразливість CVE-2018-10988 має локальний характер: атакуючий може використати недоліки механізму оновлення пилососу за допомогою microSD-картки. Після встановлення карти в корпус пилососа система оновлення запускає файл прошивки з папки upgrade_360 без перевірки цифрового підпису та з правами суперкористувача. Хакер може записати спеціально сформований скрипт на microSD-карту в папку upgrade_360, вставити її в пилосос, перезапустити його - і отримати можливість віддаленого виконання коду на пристрої. На пристрій, зокрема, може бути встановлений сніфер для перехоплення конфіденційних даних у мережевому трафіку.

За оцінками експертів Positive Technologies, цим помилкам можуть бути схильні й інші пристрої, що функціонують на базі відеомодулів, використаних у пилососах Dongguan Diqee 360, — камери зовнішнього відеоспостереження, відеореєстратори, розумні дзвінки.

Це не перший випадок, коли дослідники з Positive Technologies виявляють уразливість у подібних пристроях. У 2017 р. експерт компанії виявив критично небезпечну вразливість у вбудованому програмному забезпеченні IP-камер компанії Dahua, які широко використовуються для відеоспостереження в банківському секторі, енергетиці, телекомунікаціях, транспорті, розумних будинках. Помилка давала можливість перехопити та модифікувати відеотрафік з великої кількості IP-камер по всьому світу.

 

Інші новини

Найкраща ціна