Россиянка нашла в кормушках Xiaomi «дыру», через которую можно заморить голодом тысячи котиков и собак по всему миру

Россиянка нашла в кормушках Xiaomi «дыру», через которую можно заморить голодом тысячи котиков и собак по всему миру

Спецпроекты

ru/inc/design2019/img/icons/caret-down.png" alt="">

Российская исследовательница обнаружила в умных кормушках Xiaomi Furrytail уязвимость, через которую можно прекратить подачу еды всем домашним животным, которые из них едят. Поскольку кормушки используются, когда хозяева надолго уезжают из дома, это может окончиться смертью питомцев. Исследовательница полагает, что у нее есть доступ ко всем таким кормушкам, которые сейчас активны в мире.

Российский ИТ-специалист Анна Просветова взломала умные кормушки Xiaomi Furrytail во всем в мире, о чем сообщила в своем Telegram-канале. Через найденную уязвимость исследовательница может одновременно выдать порцию корма всем животным, которые едят из этих устройств, или же, наоборот, лишить их пищи. «Дыра» была обнаружена в API приложения, посредством которого управляются кормушки.

Умные кормушки работают по принципу дозатора, который выдает кошке или собаке определенное количество сухого корма за раз. В мобильном приложении владелец животного может задать расписание приемов пищи и объем порций. Благодаря такому устройству животное можно надолго оставить в пустой квартире в случае отъезда хозяина, не беспокоясь, что оно умрет от голода. Бренд Xiaomi Furrytail выпускает аналогичные устройства для подачи животным питьевой воды.

«У меня на экране бегают логи со всех существующих кормушек, я вижу данные о Wi-Fi-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит», — пишет исследовательница. У нее самой дома есть такая кормушка.

В России кормушку Xiaomi Furrytail можно заказать через площадку AliExpress, где она стоит более 5 тыс. руб. Максимальное количество сухого корма, которое можно засыпать в устройство — около 2 кг.

Просветова не предоставила подробное описание уязвимости, поскольку та еще не закрыта. Однако она сообщила, что в кормушках используется микроконтроллер ESP8266, который дает возможность установить на все устройства прошивку-пустышку. После этого на усмотрение хакера Xiaomi Furrytail можно вывести из строя или объединить в DDoS-ботнет.

Если кормушка будет сломана через прошивку-пустышку, то единственным способом ее починить станет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки, поясняет исследовательница. «Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков», — комментирует она свое открытие.

В самом начале исследования Просветова видела онлайн всего 800 устройств. Однако затем в течение суток их было замечено около 11 тыс. Исследовательница полагает, что это, возможно, как раз и есть все работающие кормушки Xiaomi Furrytail.

Просветова отправила в Furrytail письмо с подробным разбором уязвимости, указанием способа ее нахождения и советами по устранению. «Беда в том, что в этой ситуации нет какой-то конкретной ошибки с их стороны, потому что вся их архитектура — один огромный эпик фейл. Сама не представляю, как это можно исправить в короткий срок», — отмечает она.

Furrytail ответила, пообещав передать информацию для рассмотрения и подтверждения в технический отдел. У компании нет механизма выплаты вознаграждения исследователям за найденные уязвимости.

«Ростелеком» захватил треть бюджета крупнейших госзакупок ИКТ

Huawei поставит свои «самые высокопроизводительные процессоры» для исполнения «закона Яровой»

Как два наркобарона создали абсолютно непрослушиваемый смартфон и заработали миллионы на его продажах

С помощью бесплатных антивирусов Avast, AVG и Avira можно взломать Windows

На CNews FORUM солидные люди расскажут, как выстроить информационную безопасность в современную эпоху

Google создает ИТ-решение, которое «стучит» руководству о сходках сотрудников

Рынок средств управления мультиоблачными и гибридными моделями стремительно растет.

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.

С конца 2018 г. во многих странах ведутся исследования в области связи мобильной связи следующего поколения.

Сергей Щербинин

CDTO Уральского банка реконструкции и развития

Рынок средств управления мультиоблачными и гибридными системами стремительно растет.

Все права защищены © 1995 – 2019

Материалы, помеченные знаком ■ опубликованы на коммерческой основе