小心！你家的扫地机器人可能正在监视你的私生活

 如果您家买了这种扫地机器人，请立即将它装回包装盒，塞进储物柜！

扫地机器人可能不是您想象中的那么安全。

企业安全公司 Positive Technologies 的两位研究人员发现了影响中国东莞的 Diqee 360​​ 真空吸尘器系列的漏洞，并分享了安全漏洞的细节。

由中国智能家居制造商 Diqee 制造的真空吸尘器居然还配备了 Wi-Fi 和 360 度摄像头，这个吸尘器具有动态监控功能，可以自动监控并拍摄房屋照片，同时实时向手机发送通知。

该公司将扫地机器变成了家庭监控设备。相机是你必须担心的东西！

被发现的远程代码漏洞（称为 CVE-2018-10987）可以为攻击者提供系统的 MAC 地址。根据该报告，这一漏洞包含在 REQUEST_SET_WIFIPASSWD 函数中，并且其使用需要身份验证，尽管标准的用户名和密码组合很常见（admin / 888888）。

研究人员怀疑东莞 Diqee 360​​ 机器人漏洞可能会影响其他使用视频模块的产品，包括室外监控摄像头，智能门铃和 DVR。 Diqee 公司还生产以其他品牌销售的真空吸尘器，研究人员表示这些设备都会受到漏洞的影响。

Positive Technologies 指出，第二个漏洞，即 CVE-2018-10988，也有同样的影响，需要通过 SD 卡插槽进行物理访问才能破坏机器。将卡插入真空吸尘器时，它可以运行固件文件而无需进行数字签名检查。攻击者可以创建自己的脚本并将其放在 upgrade_360 文件夹中，从而重新启动吸尘器。

虽然尚未提供有关补丁的信息，但 Positive Technologies 已将此漏洞通知给供应商。 TechCrunch 向 Diqee 通报了漏洞，但目前没有回音。

“像任何其他物联网设备一样，这些真空扫地机器人可以被包含在用于 DDoS 攻击的僵尸网络中，但即便如此甚至都还不是最糟糕的情况，至少对业主而言，”Positive Technology 网络安全负责人 Anne Galloway 说。

“由于该设备带有 Wi-Fi，具有夜视、和能用智能手机控制导航的网络摄像头，攻击者可利用其来暗中监视所有者，甚至将该设备作为攻击入口，以获得最大的监视潜力。”