Xiaomi FurryTail: luka pozwoliła kontrolować 11 tys. podajników karmy dla kotów
Xiaomi FurryTail to linia urządzeń Xiaomi, przeznaczona dla właścicieli kotów. Dozownik karmy z tej linii to kolejny kiepsko zabezpieczony element internetu rzeczy. Programistka z Petersburga kupiła taki dozownik dla swojego pupila i szybko zorientowała się, że korzystając z jego API, może przejąć kontrolę nad prawie 11 tys. identycznych urządzeń na całym świecie.
Karmnik z linii Xiaomi FurryTail to automatyczny dozownik suchej karmy z miseczką. Urządzenie może przechowywać do 2 kg karmy, a w aplikacji można ustawić częstotliwość karmienia i rozmiar porcji. Urządzenie cieszy się sporą popularnością nie tylko dlatego, że ułatwia pilnowanie diety pupila. Dzięki niemu można bez obaw zostawić kota na kilka dni samego w domu i nie martwić się, że rytm jego posiłków zostanie zaburzony.
Dostęp do 10950 dozowników
Anna Prosvetova poinformowała o odkryciu na swoim Telegramie. Programistka znalazła lukę w API backendu obsługującego dozowniki oraz w oprogramowaniu swojego urządzenia. Wykorzystując je, mogła dostać się do dozowników na całym świecie. W sumie mogła zmienić harmonogram karmienia zwierząt, zapisany w 10950 urządzeniach FurryTail. Nie potrzebowała danych logowania właścicieli, by wysypać komuś 2 kg karmy na podłogę.
Ponadto Prosvetova przeanalizowała konstrukcję swojego dozownika i znalazła w nim moduł WiFi z podatnością, umożliwiająca poważniejsze wykorzystanie dozowników. Czipset ESP8266 ma lukę, która pozwala ściągnąć na urządzenie alternatywny firmware, uruchomić dozownik ponownie i podłączyć go jako element botnetu. Ten układ jest też podatny na atak KRACK, ale ten atak wymaga, by cyberprzestępca znajdował się w zasięgu twojej sieci WiFi.
Specjalistka twierdzi, że możliwy jest automatyczny atak na wielką skalę. Cyberprzestępcy mogliby przejąć kontrolę nad dozownikami karmy, zbudować z nich własną sieć i wykorzystywać do szkodliwych operacji. To idealna podstawa dla botnetu przeprowadzającego ataki DDoS na wskazane cele.
Xiaomi milczy
Anna Prosvetova oczywiście powiadomiła Xiaomi o odkrytych podatnościach w połowie października. Producent potwierdził, że przyjął do wiadomości istnienie luk i obiecał poprawkę. Hakerka nie dostanie żadnej nagrody za znalezienie luki, gdyż producent nie prowadzi programu Bug Bounty.
Na tym temat się urwał. Anna Prosvetova nie publikuje szczegółów podatności, by nie narażać użytkowników. Nie wiadomo, kiedy poprawka zostanie wydana i jaką drogą będzie docierała do działających już karmników.
Jeśli masz takie urządzenie w domu, dobrze zrobisz, odcinając je od internetu.
Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.