MENU
製品一覧
導入シーン
2026.03.31
Hellohas社が提供する清掃ロボット製品のアップデートを実施しました。
・DEEBOT PRO M1 ・DEEBOT PRO K1VAC
以下の脆弱性が上記の製品に存在します。 1.ポート8888、9999を介して機密情報にアクセスされる可能性 2.MQTTを介してログなどの情報を取得される可能性 3.Telnetサービスがデフォルトで有効になっている 4.wget呼び出し時に署名検証が行われていない 5.websocket通信の秘密鍵が抽出される可能性 6.部外者による悪意のある分解操作により、rootパスワードが解析される可能性 7.ロボットのホットスポットパスワードが解析される可能性 8.モバイルアプリケーションがサーバー証明書を適切に検証していない 9.LTEチップに既知の脆弱性が存在する 10.Websocket通信に以下の脆弱性が存在する
この脆弱性が悪用された場合、以下の事態が発生する可能性があります。 1.攻撃者がポート8888または9999を介して地図、ログなどのファイルにアクセスする可能性 2.攻撃者がMQTTを介してロボットをハイジャックし、ログなどの情報を取得する可能性 3.攻撃者がデフォルトで有効になっているTelnetサービスを介してデバイスにログインし、制御する可能性 4.wgetコマンドでサーバー証明書が検証されないため、通信が攻撃者によって改ざんされ、悪意のあるコードの実行を引き起こす可能性 5.websocketの秘密鍵が攻撃者によって解析され、通信内容の漏洩やロボットのハイジャックを引き起こす可能性 6.部外者がロボット本体に悪意のある操作を行うことにより、rootパスワードを解析し、ロボットシステムに侵入する可能性 7.攻撃者がホットスポットのパスワードを推測し、ロボットのAPに侵入する可能性 8.モバイルアプリケーションがサーバーから返された証明書を適切に検証しないため、攻撃者に悪用される可能性 9.攻撃者がLTEチップの既知の脆弱性を利用して攻撃コードを実行する可能性 10.(1) 秘密鍵が攻撃者によって解析される可能性
1.ポート8888および9999を閉鎖する 2.MQTT証明書の検証を追加する 3.Telnetサービスを停止する 4.wgetコマンドにロボットクラウドプラットフォームサーバーの証明書署名検証を追加する 5.秘密鍵をアップグレードし、websocket通信ポートでのOSコマンド実行を無効にする 6.rootパスワードの強度を向上させる 7.ユーザーによるホットスポットパスワードのカスタマイズをサポートする 8.モバイルアプリケーションでサーバー証明書を検証する 9.最新のLTEファームウェアにアップグレードして脆弱性を修正する 10.(1) 秘密鍵をアップグレードする
1.上記の更新は2026年1月31日にリリースされました。バージョン番号はM1-1.7.27、K1VAC-1.7.82です。 2.K1VACについては、2026年1月31日にリリースされたバージョンのアップデートとして、2026年3月23日にバージョン V1.7.821 がリリースされました。 3.M1については、2026年1月31日にリリースされたバージョンのアップデートとして、2026年3月23日にライブラリファイルの更新を行いました。
● Hellohas Robotics Inc.(ハロハスロボティクス株式会社/担当:山谷) E-mail:info@hellohas.co.jp TEL:03-5577-4667
