中国制智慧扫地机器人被发现漏洞，镜头影像或可被第三者截取

　　现在智慧家居产品都连上网，方便用户操作管理，但这些连接网路的产品，有机会被不法份子入侵，甚至遭盗用。资讯保安公司就发现，有中国制具备 360 度镜头、Wi-Fi 上网的智慧扫地机器人，由於系统保护性能不足，如果被骇客利用，家里每个角落都有机会被监视。

　　

　　南韩资讯保安公司 Positive Technologies 研究人员发现，问题发生在中国广东省东莞市智慧家居公司 Diqee（缔奇）生产的「360 镜头智慧扫地机器人」。这个机器人拥有一个 360 度镜头，可透过手机远端控制，用户可随时留意家中的任何变化，价格为 2,999 人民币（约台币 13,759 元）。

　　

　　该装置漏洞发生在「REQUEST_SET_WIFIPASSWORD」函数。如果产品被骇客知悉其 MAC 网路装置辨识位址，用户也没有更改装置密码，骇客就能利用预设登入资料（用户名称：admin／密码：888888），再从破解该函数来取得系统管理者权限，进而执行骇客指定的远端程式码，属 CVE-2018-10987 网路漏洞。在此机器人中也被发现 CVE-2018-10988 漏洞，但骇客需要在 SD 卡插槽插上 SD 卡才可攻破。

　　

　　保安公司研究人员指，骇客有可能远端操控扫地机器人，或窃取镜头影像，让这部扫地机器人变成一部装上轮子的窃听器。

　　

　　保安公司已联络有关生产商，但到目前为止生产商仍未对有关漏洞进行修补。该扫地机器人产品附有一个隐私保护盖，想保障个人隐私的用户可以先关闭镜头。

　　

　　保安公司指缔奇生产的其他产品如户外摄影机、智慧门铃、数位录影装置，以及其 OEM 产品都可能隐藏这些漏洞。

　　

　　A vacuum vulnerability could mean your Roomba knockoff is hoovering up surveillance