MENU
製品一覧
導入シーン
2026.03.31
海外製ロボットやIoT機器が年々導入される中、導入してからセキュリティで問題となるケースが散見される状況が続いています。
DEEBOTでは、敢えてOWASP TOP10等に準拠したセキュリティチェックを独自で行い、脆弱性と思われる箇所の特定を行い、
日本国内で安心して使えるレベルまでファームウェアをUPデートしています。
日本でご安心していただける商品をお届けしておりますので、ご安心ください。
Hellohas社が提供する清掃ロボット製品のアップデートを実施しました。
・DEEBOT PRO M1
・DEEBOT PRO K1VAC
以下の脆弱性が上記の製品に存在します。
1.ポート8888、9999を介して機密情報にアクセスされる可能性
2.MQTTを介してログなどの情報を取得される可能性
3.Telnetサービスがデフォルトで有効になっている
4.wget呼び出し時に署名検証が行われていない
5.websocket通信の秘密鍵が抽出される可能性
6.部外者による悪意のある分解操作により、rootパスワードが解析される可能性
7.ロボットのホットスポットパスワードが解析される可能性
8.モバイルアプリケーションがサーバー証明書を適切に検証していない
9.LTEチップに既知の脆弱性が存在する
10.Websocket通信に以下の脆弱性が存在する
この脆弱性が悪用された場合、以下の事態が発生する可能性があります。
1.攻撃者がポート8888または9999を介して地図、ログなどのファイルにアクセスする可能性
2.攻撃者がMQTTを介してロボットをハイジャックし、ログなどの情報を取得する可能性
3.攻撃者がデフォルトで有効になっているTelnetサービスを介してデバイスにログインし、制御する可能性
4.wgetコマンドでサーバー証明書が検証されないため、通信が攻撃者によって改ざんされ、悪意のあるコードの実行を引き起こす可能性
5.websocketの秘密鍵が攻撃者によって解析され、通信内容の漏洩やロボットのハイジャックを引き起こす可能性
6.部外者がロボット本体に悪意のある操作を行うことにより、rootパスワードを解析し、ロボットシステムに侵入する可能性
7.攻撃者がホットスポットのパスワードを推測し、ロボットのAPに侵入する可能性
8.モバイルアプリケーションがサーバーから返された証明書を適切に検証しないため、攻撃者に悪用される可能性
9.攻撃者がLTEチップの既知の脆弱性を利用して攻撃コードを実行する可能性
10.(1) 秘密鍵が攻撃者によって解析される可能性
1.ポート8888および9999を閉鎖する
2.MQTT証明書の検証を追加する
3.Telnetサービスを停止する
4.wgetコマンドにロボットクラウドプラットフォームサーバーの証明書署名検証を追加する
5.秘密鍵をアップグレードし、websocket通信ポートでのOSコマンド実行を無効にする
6.rootパスワードの強度を向上させる
7.ユーザーによるホットスポットパスワードのカスタマイズをサポートする
8.モバイルアプリケーションでサーバー証明書を検証する
9.最新のLTEファームウェアにアップグレードして脆弱性を修正する
10.(1) 秘密鍵をアップグレードする
1.上記の更新は2026年1月31日にリリースされました。バージョン番号はM1-1.7.27、K1VAC-1.7.82です。
2.K1VACについては、2026年1月31日にリリースされたバージョンのアップデートとして、2026年3月23日にバージョン V1.7.821 がリリースされました。
3.M1については、2026年1月31日にリリースされたバージョンのアップデートとして、2026年3月23日にライブラリファイルの更新を行いました。
● Hellohas Robotics Inc.(ハロハスロボティクス株式会社/担当:山谷) E-mail:info@hellohas.co.jp TEL:03-5577-4667
