Xiaomi FurryTail: luka pozwoliła kontrolować 11 tys. podajników karmy dla kotów Strona główna Aktualności28.10.2019 12:27 Xiaomi FurryTail: luka pozwoliła kontrolować 11 tys. podajników karmy dla kotów Udostępnij: O autorze Anna Rymsza @Xyrcon Xiaomi FurryTail to linia urządzeń Xiaomi, przeznaczona dla właścicieli kotów. Dozownik karmy z tej linii to kolejny kiepsko zabezpieczony element internetu rzeczy. Programistka z Petersburga kupiła taki dozownik dla swojego pupila i szybko zorientowała się, że korzystając z jego API, może przejąć kontrolę nad prawie 11 tys. identycznych urządzeń na całym świecie. Karmnik z linii Xiaomi FurryTail to automatyczny dozownik suchej karmy z miseczką. Urządzenie może przechowywać do 2 kg karmy, a w aplikacji można ustawić częstotliwość karmienia i rozmiar porcji. Urządzenie cieszy się sporą popularnością nie tylko dlatego, że ułatwia pilnowanie diety pupila. Dzięki niemu można bez obaw zostawić kota na kilka dni samego w domu i nie martwić się, że rytm jego posiłków zostanie zaburzony. Dostęp do 10950 dozowników Anna Prosvetova poinformowała o odkryciu na swoim Telegramie. Programistka znalazła lukę w API backendu obsługującego dozowniki oraz w oprogramowaniu swojego urządzenia. Wykorzystując je, mogła dostać się do dozowników na całym świecie. W sumie mogła zmienić harmonogram karmienia zwierząt, zapisany w 10950 urządzeniach FurryTail. Nie potrzebowała danych logowania właścicieli, by wysypać komuś 2 kg karmy na podłogę. Ponadto Prosvetova przeanalizowała konstrukcję swojego dozownika i znalazła w nim moduł WiFi z podatnością, umożliwiająca poważniejsze wykorzystanie dozowników. Czipset ESP8266 ma lukę, która pozwala ściągnąć na urządzenie alternatywny firmware, uruchomić dozownik ponownie i podłączyć go jako element botnetu. Ten układ jest też podatny na atak KRACK, ale ten atak wymaga, by cyberprzestępca znajdował się w zasięgu twojej sieci WiFi. Specjalistka twierdzi, że możliwy jest automatyczny atak na wielką skalę. Cyberprzestępcy mogliby przejąć kontrolę nad dozownikami karmy, zbudować z nich własną sieć i wykorzystywać do szkodliwych operacji. To idealna podstawa dla botnetu przeprowadzającego ataki DDoS na wskazane cele. Xiaomi milczy Anna Prosvetova oczywiście powiadomiła Xiaomi o odkrytych podatnościach w połowie października. Producent potwierdził, że przyjął do wiadomości istnienie luk i obiecał poprawkę. Hakerka nie dostanie żadnej nagrody za znalezienie luki, gdyż producent nie prowadzi programu Bug Bounty. Na tym temat się urwał. Anna Prosvetova nie publikuje szczegółów podatności, by nie narażać użytkowników. Nie wiadomo, kiedy poprawka zostanie wydana i jaką drogą będzie docierała do działających już karmników. Jeśli masz takie urządzenie w domu, dobrze zrobisz, odcinając je od internetu. Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender. Sprzęt Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Późne aktualizacje, błędy i uceglone telefony, czyli Xiaomi i Android One w praktyce 11 mar 2020 MironNurski Oprogramowanie 163 Xiaomi Mi Box: aktualizacja do Androida TV 9.0 dostępna do pobrania 30 wrz 2020 Oskar Ziomek Oprogramowanie Sprzęt SmartDom 83 Xiaomi szpieguje właścicieli smartfonów? Pojawiły się poważne oskarżenia 1 maj 2020 Arkadiusz Stando Oprogramowanie Biznes Bezpieczeństwo 264 Xiaomi Mi Box 4S Pro: nowa przystawka z MIUI TV obsłuży rozdzielczość 8K 4 lis 2020 Oskar Ziomek Sprzęt SmartDom 41
Udostępnij: O autorze Anna Rymsza @Xyrcon Xiaomi FurryTail to linia urządzeń Xiaomi, przeznaczona dla właścicieli kotów. Dozownik karmy z tej linii to kolejny kiepsko zabezpieczony element internetu rzeczy. Programistka z Petersburga kupiła taki dozownik dla swojego pupila i szybko zorientowała się, że korzystając z jego API, może przejąć kontrolę nad prawie 11 tys. identycznych urządzeń na całym świecie. Karmnik z linii Xiaomi FurryTail to automatyczny dozownik suchej karmy z miseczką. Urządzenie może przechowywać do 2 kg karmy, a w aplikacji można ustawić częstotliwość karmienia i rozmiar porcji. Urządzenie cieszy się sporą popularnością nie tylko dlatego, że ułatwia pilnowanie diety pupila. Dzięki niemu można bez obaw zostawić kota na kilka dni samego w domu i nie martwić się, że rytm jego posiłków zostanie zaburzony. Dostęp do 10950 dozowników Anna Prosvetova poinformowała o odkryciu na swoim Telegramie. Programistka znalazła lukę w API backendu obsługującego dozowniki oraz w oprogramowaniu swojego urządzenia. Wykorzystując je, mogła dostać się do dozowników na całym świecie. W sumie mogła zmienić harmonogram karmienia zwierząt, zapisany w 10950 urządzeniach FurryTail. Nie potrzebowała danych logowania właścicieli, by wysypać komuś 2 kg karmy na podłogę. Ponadto Prosvetova przeanalizowała konstrukcję swojego dozownika i znalazła w nim moduł WiFi z podatnością, umożliwiająca poważniejsze wykorzystanie dozowników. Czipset ESP8266 ma lukę, która pozwala ściągnąć na urządzenie alternatywny firmware, uruchomić dozownik ponownie i podłączyć go jako element botnetu. Ten układ jest też podatny na atak KRACK, ale ten atak wymaga, by cyberprzestępca znajdował się w zasięgu twojej sieci WiFi. Specjalistka twierdzi, że możliwy jest automatyczny atak na wielką skalę. Cyberprzestępcy mogliby przejąć kontrolę nad dozownikami karmy, zbudować z nich własną sieć i wykorzystywać do szkodliwych operacji. To idealna podstawa dla botnetu przeprowadzającego ataki DDoS na wskazane cele. Xiaomi milczy Anna Prosvetova oczywiście powiadomiła Xiaomi o odkrytych podatnościach w połowie października. Producent potwierdził, że przyjął do wiadomości istnienie luk i obiecał poprawkę. Hakerka nie dostanie żadnej nagrody za znalezienie luki, gdyż producent nie prowadzi programu Bug Bounty. Na tym temat się urwał. Anna Prosvetova nie publikuje szczegółów podatności, by nie narażać użytkowników. Nie wiadomo, kiedy poprawka zostanie wydana i jaką drogą będzie docierała do działających już karmników. Jeśli masz takie urządzenie w domu, dobrze zrobisz, odcinając je od internetu. Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender. Sprzęt Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji