未打补丁的安全漏洞打开了接管真空的接管

旧金山–研究人员在连接的真空吸尘器中发现了几个严重程度很高的漏洞。 这些安全漏洞可以使远程攻击者能够发起一系列攻击，从导致无法使用吸尘器的拒绝服务（DoS）攻击到通过吸尘器的嵌入式摄像头查看私人家庭录像。

Ironpie M6 在亚马逊上的售价为230美元，配备了相应的移动应用程序和安全摄像头。 这款吸尘器由人工智能家庭机器人公司Trifo建造，并于 2019年CES上首次推出 IronPie。研究人员周三表示，他们在本周的RSA Conference 2020上发现了六个缺陷，这些缺陷来自于该吸尘器的移动应用及其连接协议。在旧金山。

Checkmarx安全研究主管Erez Yalon对Threatpost说：“最严重的漏洞使攻击者可以从全球任何Trifo设备访问任何视频流。” “通过此漏洞，每个用户-无论是在我们的PoC视频中所显示的家庭或办公室环境中-都面临黑客获取实时视频供稿的风险。 不用说，这完全丧失了隐私。”

Yalon说，该设备的制造商Trifo到目前为止尚未对自2019年12月16日开始报告此漏洞的尝试做出任何回应-截至发布之日，漏洞仍未修复。 Threatpost还多次联系Trifo以征询有关漏洞的信息。

Yalon告诉Threatpost：“由于Trifo没有发布修复程序，使情况进一步复杂化，设备所有者的唯一降低风险的方法是遮盖摄像头或切断吸尘器对Wi-Fi的访问，从而减少了其某些关键功能，” Yalon告诉Threatpost 。

发现的最严重的漏洞存在于Trifo的Android应用程序中，该应用程序称为Trifo Home。 在CVSS 3.0级别上，此缺陷占8.5的十分之多，使其具有很高的严重性。 当应用程序向服务查询新的APK（Android应用程序包）时，Trifo Home使用HTTP请求，这是Android操作系统用于更新应用程序的包文件格式。

因为请求是通过HTTP发送的，这意味着它们是纯文本的，监视连接的任何人都可以读取它们。 使用Burp Suite代理服务器（Web应用程序安全工具），攻击者可以轻松地监视并篡改传输中的请求。 然后，他们可以更进一步，诱骗该应用程序安装由攻击者控制的恶意APK，最终允许他们在移动应用程序上安装恶意软件。

研究人员还发现，高度真空的缺陷源于真空的MQTT实施，这是一种物联网连接协议，用作真空，后端服务器和Trifo Home应用之间的桥梁。 研究人员表示，Ironpie M6中实施MQTT的方式缺乏适当的身份验证机制。 它通过未加密的连接连接到MQTT服务器（仅在交换数据包后才加密MQTT有效负载），并且以明文形式传输数据。

缺少身份验证意味着远程攻击者可以监视往返Ironpy M6，其相应应用程序和服务器的流量。 更糟糕的是，该应用在APK中使用了固定的硬编码用户名和密码，使其易于访问； 而且，该应用程序使用其APK内的证书连接到服务器，可以通过监视流量的攻击者轻松获取该证书。

“有了可以从APK轻松获取的证书，并且用户名/密码经过硬编码并且始终保持相同，攻击者可以连接到MQTT服务器，从而模拟任何客户端ID。 此外，这些ID是顺序生成的，很容易猜测。”研究人员说。

一旦他们使用此攻击获得真空客户端ID（用于标识真空的ID），攻击者便可以使用该ID连接到MQTT服务器，从而使他们能够完全控制真空。 在控制了真空之后，攻击者可以进行一系列攻击，包括查看真空中的视频馈送，以及使真空吸尘器崩溃（通过通过端口7000发送的特制数据包）。

Yalon表示，尽管围绕不安全的物联网（IoT）设备的讨论越来越多，以及对法规的呼吁也越来越多，但连接的设备本身仍然是不安全的。 这为最终用户带来了担忧， 这些威胁来自智能家居设备带来的隐私威胁 ，也包括不断演变的僵尸网络，这些僵尸网络正在向全球脆弱的连接设备发起更强大，更大的分布式拒绝服务 （DDoS）攻击。

“虽然与Trifo设备有关的隐私问题显然令人担忧，但需要解决的更大主题围绕着将连接的设备带入我们的个人，私有环境中，尤其是嵌入了相机和麦克风的设备中。 随着我们继续通过这种智能吸尘器等设备在日常生活中优先考虑便利性，消费者必须尽可能地认识，理解和应对相应的安全风险。 设备制造商本身也必须更加重视当今面向消费者的设备的安全性。” Yalon告诉Threatpost。

有关Threatpost的2020年RSA会议的完整报告，请访问我们的特别报道部分，位于此处 。