Trifo Ironpie M6扫地机器人安全漏洞未修复,黑客可偷窥用户隐私
字数 866 2025-08-18 11:39:23

Trifo Ironpie M6扫地机器人安全漏洞分析报告

漏洞概述

Trifo Ironpie M6是一款配备移动应用程序和安全摄像头的联网扫地机器人,由人工智能家用机器人公司Trifo生产。研究人员在该产品中发现了多个高危安全漏洞,主要涉及移动应用程序及其连接协议。

漏洞详情

1. 视频流未授权访问漏洞

  • 严重性:高危 (CVSS 3.0评分8.5)
  • 影响:攻击者可访问全球任何Trifo设备的实时视频流
  • 后果:用户隐私完全丧失,居家/办公环境可能被监控

2. Android应用程序更新机制漏洞

  • 问题:Trifo Home应用使用HTTP请求查询APK更新
  • 风险
    • 请求以明文形式发送,易被中间人监控
    • 攻击者可篡改传输中的请求
    • 可诱骗应用安装恶意APK

3. MQTT实现漏洞

  • 问题:MQTT协议实现存在多个安全问题
  • 具体缺陷
    • 缺少适当的身份认证机制
    • 初始连接阶段未加密传输
    • 使用硬编码的固定用户名/密码
    • 客户端ID按顺序生成,易猜测
    • 应用APK中包含可提取的证书

4. 完全控制漏洞

  • 攻击路径
    1. 从APK提取证书和凭据
    2. 猜测或获取客户端ID
    3. 冒充合法客户端连接MQTT服务器
  • 攻击能力
    • 查看视频流
    • 通过7000端口发送特制数据包使设备崩溃
    • 执行拒绝服务攻击

厂商响应情况

  • 首次漏洞报告时间:2019年12月16日
  • 截至报告发布时(2020年2月28日):厂商未做出任何响应
  • 漏洞仍未修复

缓解措施

由于厂商未提供补丁,用户可选方案有限:

  1. 物理遮挡摄像头
  2. 断开设备与Wi-Fi的连接
  3. 注意:以上措施会限制设备功能

安全启示

  1. 物联网设备安全问题持续存在且严重
  2. 配备摄像头/麦克风的智能设备带来重大隐私风险
  3. 厂商安全开发意识不足
  4. 消费者需提高对智能设备安全风险的认识

建议

对厂商:

  • 立即修复漏洞并发布安全更新
  • 加强安全开发实践
  • 建立有效的漏洞响应机制

对用户:

  • 评估是否继续使用该设备
  • 如必须使用,采取物理安全措施
  • 关注厂商安全更新

对行业:

  • 推动物联网设备安全标准
  • 加强监管和法律约束
  • 提高整体安全意识
Trifo Ironpie M6扫地机器人安全漏洞分析报告 漏洞概述 Trifo Ironpie M6是一款配备移动应用程序和安全摄像头的联网扫地机器人,由人工智能家用机器人公司Trifo生产。研究人员在该产品中发现了多个高危安全漏洞,主要涉及移动应用程序及其连接协议。 漏洞详情 1. 视频流未授权访问漏洞 严重性 :高危 (CVSS 3.0评分8.5) 影响 :攻击者可访问全球任何Trifo设备的实时视频流 后果 :用户隐私完全丧失,居家/办公环境可能被监控 2. Android应用程序更新机制漏洞 问题 :Trifo Home应用使用HTTP请求查询APK更新 风险 : 请求以明文形式发送,易被中间人监控 攻击者可篡改传输中的请求 可诱骗应用安装恶意APK 3. MQTT实现漏洞 问题 :MQTT协议实现存在多个安全问题 具体缺陷 : 缺少适当的身份认证机制 初始连接阶段未加密传输 使用硬编码的固定用户名/密码 客户端ID按顺序生成,易猜测 应用APK中包含可提取的证书 4. 完全控制漏洞 攻击路径 : 从APK提取证书和凭据 猜测或获取客户端ID 冒充合法客户端连接MQTT服务器 攻击能力 : 查看视频流 通过7000端口发送特制数据包使设备崩溃 执行拒绝服务攻击 厂商响应情况 首次漏洞报告时间:2019年12月16日 截至报告发布时(2020年2月28日):厂商未做出任何响应 漏洞仍未修复 缓解措施 由于厂商未提供补丁,用户可选方案有限: 物理遮挡摄像头 断开设备与Wi-Fi的连接 注意:以上措施会限制设备功能 安全启示 物联网设备安全问题持续存在且严重 配备摄像头/麦克风的智能设备带来重大隐私风险 厂商安全开发意识不足 消费者需提高对智能设备安全风险的认识 建议 对厂商: 立即修复漏洞并发布安全更新 加强安全开发实践 建立有效的漏洞响应机制 对用户: 评估是否继续使用该设备 如必须使用,采取物理安全措施 关注厂商安全更新 对行业: 推动物联网设备安全标准 加强监管和法律约束 提高整体安全意识