Forskere ved Checkmarx beskriver sikkerhedsproblemer opdaget med en robotstøvsuger.
Sikkerhedssårbarheder i et mærke af Internet of Things tilsluttet støvsuger kunne tillade hackere at få adgang til enheder, sende kommandoer og endda overvåge live video-feeds optaget af de indbyggede kameraer, ifølge forskere fra sikkerhedsfirmaer.
Forskere ved cybersikkerhed Checkmarx sagde, at de har opdaget de potentielle fejl i Trifo Ironpie M6 smarte støvsugeren og sagde, at de har kontaktet producenten flere gange, men endnu ikke har modtaget et svar.
Robotik
- Denne AI-drevne protesehånd bringer design og stil til et livsændrende produkt
- De bedste robotstøvsugere, der er tilgængelige nu
- Hvorfor får universitetsbørn alle de seje robotter?
- De 5 bedste robotplæneklippere: Håndfri plænepleje
Ved at udnytte sårbarheder kan hackere potentielt tage kontrol over et vakuum, samt have mulighed for at overvåge live-video-feedet produceret af enheden. Angribere kan også få adgang til interne kortdata for det område, renere patruljerer, og information om netværket, det er på, potentielt inklusive IP-adresse og placering.
"Det er en masse information," sagde Erez Yalon, direktør for sikkerhedsforskning hos Checkmarx, til ZDNet.
SE: Cybersikkerhed i en IoT og mobil verden (ZDNet-særrapport) | Download rapporten som PDF (TechRepublic)
Trifo Ironpie er en robotstøvsuger, der reklameres som både en måde at holde tæpper rene på og et middel til at holde bygninger sikre mod ubudne gæster takket være det indbyggede kamera.
Men forskere fandt ud af, at kameraet kunne tilgås takket være en kombination af de servere, der kommunikerer med enheden mangler ordentlige autentificeringsmekanismer og usikker kryptering, der tillader trafik at være snusede.
At hacke en støvsuger lyder måske mere som en irritation end et ondsindet angreb, men det er også muligt at kombinere dette med fjernadgang til kameraet og snooping på live-feeds, samt adgang til kortdata produceret af Ironpie.
Mens angribere skal være lokale for en enhed for at tage fysisk kontrol over den, kan alle kamerafeeds tilgås, uanset hvor angriberen er. Angriberen kan endda være i et andet land, som det var tilfældet med denne forskning. Forskere detaljerer ikke fuldstændigt sårbarhederne i et forsøg på at beskytte brugerne.
SE: Ecovacs Deebot OSMO 920 hands-on: En robotstøvsuger til flere formål med smarte app-funktioner
"Den mest alvorlige sårbarhed, som ville give en angriber mulighed for at få adgang til et live video-feed, huskort, og muligvis placering, fra enhver enhed, kan udføres helt eksternt," Yalon forklaret.
Checkmarx har forsøgt at kontakte Trifo siden december og har endda sendt en kopi af det fulde sårbarhedsrapport, men der har ikke været svar eller anerkendelse af, at sårbarhederne har blevet noteret. ZDNet har også forsøgt at kontakte Trifo, men har ikke modtaget et svar.
MERE OM CYBERSIKKERHED
- IoT-sikkerhed: Dine smartenheder skal have disse tre funktioner for at være sikre
- Sådan sikrer du dine IoT-enheder mod botnets og andre trusler TechRepublic
- IoT-sikkerhed: Hvorfor det bliver værre, før det bliver bedre
- IoT-angreb bliver værre – og ingen lytter CNET
- Populær børnetablet lappet efter fejl gjorde personlige data sårbare