로봇청소기 Diqee 해킹 취약점
중국제 로봇청소기 디키 360에서 원격으로 해킹할 수 있는 취약점이 발견됐다. 이 제품은 와이파이와 360도 회전카메라를 탑재해 집안을 돌아다니면서 감시하는 기능을 갖췄다. 악용되면 스파이 로봇이 되는 것이다.
CVE-2018-10987은 원격코드실행이 가능한 취약점이다. 특수하게 조작된 UDP 패킷을 보내면 루트 권한으로 임의의 코드를 실행할 수 있다. 경우에 따라서는 기본 관리자 암호인 '888888'로 코드실행 권한을 얻을 수도 있다.
이 취약점을 발견한 포지티브 테크놀로지에 따르면, 같은 카메라 모듈을 사용한 다른 제품들(CCTV나 다른 청소기 등)도 같은 취약점을 갖고 있을 가능성이 높다고 한다.
CVE-2018-10988 취약점은 SD카드의 특정 경로에 있는 코드를 루트 권한으로 실행하는 것이다. 제품 부팅 시 펌웨어 업데이트를 SD카드에서 찾는데, 디지털 서명을 확인하지 않는 것이 문제다. 악성코드가 담긴 SD카드를 삽입해야 하므로 집안에 스파이가 있어야 한다.
참고 자료
CVE-2018-10987은 원격코드실행이 가능한 취약점이다. 특수하게 조작된 UDP 패킷을 보내면 루트 권한으로 임의의 코드를 실행할 수 있다. 경우에 따라서는 기본 관리자 암호인 '888888'로 코드실행 권한을 얻을 수도 있다.
이 취약점을 발견한 포지티브 테크놀로지에 따르면, 같은 카메라 모듈을 사용한 다른 제품들(CCTV나 다른 청소기 등)도 같은 취약점을 갖고 있을 가능성이 높다고 한다.
CVE-2018-10988 취약점은 SD카드의 특정 경로에 있는 코드를 루트 권한으로 실행하는 것이다. 제품 부팅 시 펌웨어 업데이트를 SD카드에서 찾는데, 디지털 서명을 확인하지 않는 것이 문제다. 악성코드가 담긴 SD카드를 삽입해야 하므로 집안에 스파이가 있어야 한다.
참고 자료
댓글
댓글 쓰기