Enabot Ebo Air 家庭安全機器人的缺陷允許攻擊者監視用戶
Enabot Ebo Air 家庭安全機器人的缺陷允許攻擊者監視用戶
如果被利用,該漏洞可能允許攻擊者劫持設備的攝像頭和麥克風以監視房主。
安全實驗室 Modux 的研究人員發現了 Enabot 的 Ebo Air 智能機器人的一個缺陷,該機器人旨在娛樂您的整個家庭和寵物。根據 Modux 研究人員的發現,攻擊者可以通過利用該漏洞并監視居住者/用戶來輕松入侵智能機器人。
攻擊者可以錄制視頻、破壞攝像頭并通過設備的內置麥克風與用戶交流。所有這一切都可能在設備所有者不知道黑客入侵的情況下發生,并且攻擊者可以謹慎地監控室內活動。
研究人員拍攝的圖像(圖片:Modux Labs
什么是缺陷?
在測試 Ebo Air 智能機器人時,Modux 發現它預先配置了默認管理員密碼。因此,攻擊者可以使用密碼通過計算機用來啟用通信的 Secure Shell/SSH 網絡通信協議連接到設備。
完成此操作后,攻擊者可以訪問和利用設備的幾乎所有功能,從訪問/捕獲音頻視頻到進行監視。值得注意的是,只有當攻擊者入侵您的家庭 Wi-Fi 網絡時,黑客才能成功,考慮到路由器中糟糕的安全機制,這并不難。
與缺陷相關的風險
當攻擊者獲得對設備的遠程控制時,他們可以隨時隨地(從任何地方)遠程完全控制它。此外,任何 Ebo Air 機器人都可能被利用該漏洞,無論是在銷售中還是由房主使用,因為默認密碼是相同的。
另一個問題是設備在恢復出廠設置后并沒有完全擦除,因此即使設備已售出,用戶的密碼仍然可以訪問。在這種情況下,新主人可以輕松訪問您的家庭 Wi-Fi 網絡并識別您的位置。
缺陷現狀
根據 Modux Labs 的博文,他們及時通知了 Enabot 該漏洞,該公司做出了積極回應。該公司通過終止 SSH 服務并消除攻擊者控制設備的機會來修復該漏洞并減輕威脅。
此外,Enabot 修復了不完整的出廠數據重置問題。但是,除非更新應用程序和設備以安裝最新的安全修復程序,否則 Ebo Air 用戶仍可能面臨風險。
學過的知識
總之,很明顯,物聯網設備因其默認憑據而面臨重大風險。必須確保在設置設備后更改這些憑據。此外,密切關注制造商發布的最新安全補丁也很重要。通過這樣做,我們可以幫助降低我們的物聯網設備被入侵的風險。
