Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
A dokázali tím co? Aby mi takto někdo "hacknulů robotický vysavač musel by se k nemu dostat a to už by pro něj bylo 100x jednodušší tam rovnou umístit odposlouchávání...
Proč by se k němu musel fyzicky dostat? Většina vysavačů od Xiaomi má WiFi a podporuje OTA aktualizace. Takže se stačí správně nabourat do procesu aktualizace. Většina těchto čínských "výrobků" nepoužívá pro OTA zabezpečený kanál a pokud už ano, tak používají zastaralé SSL 3.0 až TLS 1.1, nevyužívaní SNI či neověřují certifikáty. Takže vetšinou stačí běžný man-in-the-middle útok DNS spoofing. Takže nic složitého pro průměrného bezpečnostního analytika/programátora.
Je však pravdou, že lepší bude se nabourat do něčeho co už má mikrofon...
mno, co jsi uvedl rozporovat nemohu, protože do toho, jak můj roborock provádí update nevidím. Ale vím, že je poslední z řady, kde je ještě firmware otevřené a digitálně nepodepsané. proto tam jde také namountovat čeština a defacto mu podvrhnout update. Na všech novějších roborocích se to doposud prorazit nepodařilo, takže to, že podvrhneš update je ti prd platný, protože ho vysavač prostě odmítne. V nejhorším případě se brickne.
"lidé nemusejí mít přílišné obavy ze špionáže přes robotický vysavač"
- Může to být pravda. Na druhou stranu počet těchto "okrajových" děr v našem okolí neustále roste.
- Jedné se bát nemusíme, ale když jich budou stovky, tak mají tajné služby "jídelníček" ze, kterého si můžou vybrat, co ucho ráčí. Jen v listopadovém updatu opravil Microsoft 112 děr.
- Takže má smysl každou díru řešit.
https://www.theregister.com/2020/11/11/patch_tuesday_updates/
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.