Xiaomi FurryTail: luka pozwoliła kontrolować 11 tys. podajników karmy dla kotów Strona główna Aktualności28.10.2019 12:27 Xiaomi FurryTail: luka pozwoliła kontrolować 11 tys. podajników karmy dla kotów Udostępnij: O autorze Anna Rymsza @Xyrcon Xiaomi FurryTail to linia urządzeń Xiaomi, przeznaczona dla właścicieli kotów. Dozownik karmy z tej linii to kolejny kiepsko zabezpieczony element internetu rzeczy. Programistka z Petersburga kupiła taki dozownik dla swojego pupila i szybko zorientowała się, że korzystając z jego API, może przejąć kontrolę nad prawie 11 tys. identycznych urządzeń na całym świecie. Karmnik z linii Xiaomi FurryTail to automatyczny dozownik suchej karmy z miseczką. Urządzenie może przechowywać do 2 kg karmy, a w aplikacji można ustawić częstotliwość karmienia i rozmiar porcji. Urządzenie cieszy się sporą popularnością nie tylko dlatego, że ułatwia pilnowanie diety pupila. Dzięki niemu można bez obaw zostawić kota na kilka dni samego w domu i nie martwić się, że rytm jego posiłków zostanie zaburzony. Dostęp do 10950 dozowników Anna Prosvetova poinformowała o odkryciu na swoim Telegramie. Programistka znalazła lukę w API backendu obsługującego dozowniki oraz w oprogramowaniu swojego urządzenia. Wykorzystując je, mogła dostać się do dozowników na całym świecie. W sumie mogła zmienić harmonogram karmienia zwierząt, zapisany w 10950 urządzeniach FurryTail. Nie potrzebowała danych logowania właścicieli, by wysypać komuś 2 kg karmy na podłogę. Ponadto Prosvetova przeanalizowała konstrukcję swojego dozownika i znalazła w nim moduł WiFi z podatnością, umożliwiająca poważniejsze wykorzystanie dozowników. Czipset ESP8266 ma lukę, która pozwala ściągnąć na urządzenie alternatywny firmware, uruchomić dozownik ponownie i podłączyć go jako element botnetu. Ten układ jest też podatny na atak KRACK, ale ten atak wymaga, by cyberprzestępca znajdował się w zasięgu twojej sieci WiFi. Specjalistka twierdzi, że możliwy jest automatyczny atak na wielką skalę. Cyberprzestępcy mogliby przejąć kontrolę nad dozownikami karmy, zbudować z nich własną sieć i wykorzystywać do szkodliwych operacji. To idealna podstawa dla botnetu przeprowadzającego ataki DDoS na wskazane cele. Xiaomi milczy Anna Prosvetova oczywiście powiadomiła Xiaomi o odkrytych podatnościach w połowie października. Producent potwierdził, że przyjął do wiadomości istnienie luk i obiecał poprawkę. Hakerka nie dostanie żadnej nagrody za znalezienie luki, gdyż producent nie prowadzi programu Bug Bounty. Na tym temat się urwał. Anna Prosvetova nie publikuje szczegółów podatności, by nie narażać użytkowników. Nie wiadomo, kiedy poprawka zostanie wydana i jaką drogą będzie docierała do działających już karmników. Jeśli masz takie urządzenie w domu, dobrze zrobisz, odcinając je od internetu. Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender. Sprzęt Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Xiaomi ujawnia kolejną listę smartfonów, które dostaną Androida 9 Pie 14 mar 2019 Miron Nurski Oprogramowanie 53 Xiaomi zapowiada podwyżkę cen. Chcą zerwać z wizerunkiem taniej marki 7 mar 2019 Piotr Urbaniak Sprzęt Biznes 99 Xiaomi uderzy w Europę: firma planuje potroić liczbę oficjalnych sklepów 26 lut 2019 Mateusz Budzeń Sprzęt 71 Xiaomi Mi Mural TV – telewizor 4K z matrycą Samsunga konkurencją dla Frame TV 26 kwi 2019 Oskar Ziomek Sprzęt SmartDom 44
Udostępnij: O autorze Anna Rymsza @Xyrcon Xiaomi FurryTail to linia urządzeń Xiaomi, przeznaczona dla właścicieli kotów. Dozownik karmy z tej linii to kolejny kiepsko zabezpieczony element internetu rzeczy. Programistka z Petersburga kupiła taki dozownik dla swojego pupila i szybko zorientowała się, że korzystając z jego API, może przejąć kontrolę nad prawie 11 tys. identycznych urządzeń na całym świecie. Karmnik z linii Xiaomi FurryTail to automatyczny dozownik suchej karmy z miseczką. Urządzenie może przechowywać do 2 kg karmy, a w aplikacji można ustawić częstotliwość karmienia i rozmiar porcji. Urządzenie cieszy się sporą popularnością nie tylko dlatego, że ułatwia pilnowanie diety pupila. Dzięki niemu można bez obaw zostawić kota na kilka dni samego w domu i nie martwić się, że rytm jego posiłków zostanie zaburzony. Dostęp do 10950 dozowników Anna Prosvetova poinformowała o odkryciu na swoim Telegramie. Programistka znalazła lukę w API backendu obsługującego dozowniki oraz w oprogramowaniu swojego urządzenia. Wykorzystując je, mogła dostać się do dozowników na całym świecie. W sumie mogła zmienić harmonogram karmienia zwierząt, zapisany w 10950 urządzeniach FurryTail. Nie potrzebowała danych logowania właścicieli, by wysypać komuś 2 kg karmy na podłogę. Ponadto Prosvetova przeanalizowała konstrukcję swojego dozownika i znalazła w nim moduł WiFi z podatnością, umożliwiająca poważniejsze wykorzystanie dozowników. Czipset ESP8266 ma lukę, która pozwala ściągnąć na urządzenie alternatywny firmware, uruchomić dozownik ponownie i podłączyć go jako element botnetu. Ten układ jest też podatny na atak KRACK, ale ten atak wymaga, by cyberprzestępca znajdował się w zasięgu twojej sieci WiFi. Specjalistka twierdzi, że możliwy jest automatyczny atak na wielką skalę. Cyberprzestępcy mogliby przejąć kontrolę nad dozownikami karmy, zbudować z nich własną sieć i wykorzystywać do szkodliwych operacji. To idealna podstawa dla botnetu przeprowadzającego ataki DDoS na wskazane cele. Xiaomi milczy Anna Prosvetova oczywiście powiadomiła Xiaomi o odkrytych podatnościach w połowie października. Producent potwierdził, że przyjął do wiadomości istnienie luk i obiecał poprawkę. Hakerka nie dostanie żadnej nagrody za znalezienie luki, gdyż producent nie prowadzi programu Bug Bounty. Na tym temat się urwał. Anna Prosvetova nie publikuje szczegółów podatności, by nie narażać użytkowników. Nie wiadomo, kiedy poprawka zostanie wydana i jaką drogą będzie docierała do działających już karmników. Jeśli masz takie urządzenie w domu, dobrze zrobisz, odcinając je od internetu. Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender. Sprzęt Bezpieczeństwo SmartDom Udostępnij: © dobreprogramy Zgłoś błąd w publikacji