Rosjanka przypadkowo zchakowała tysiące karmników dla zwierząt Xiaomi na całym świecie

W maju firma Xiaomi wprowadziła „inteligentny” karmnik dla kotów i psów Furrytail Smart Pet Feeder. A pewnego dnia jedna z użytkowniczek odkryła lukę w zabezpieczeniach i odkryła ją przypadkowo.

Jak to się stało

Anna Prosvetova, autorka kanału Telegram „Byłem zmuszony do stworzenia kanału”, powiedziała, że ​​przypadkowo włamała się do podajników, studiując API swojego urządzenia.

„Teraz nadal studiowałam ich interfejsy API i przypadkowo uzyskałam dostęp do wszystkich podajników tego modelu na świecie. Mam dzienniki uruchomione na ekranie ze wszystkich istniejących podajników, widzę dane w sieci Wi-Fi biednych Chińczyków, którzy kupili te urządzenia dla siebie. Mogę nagle nakarmić wszystkie koty i psy kilkoma kliknięciami, ale mogę pozbawić je jedzenia, usuwając harmonogramy z urządzeń. Widzę, ile jedzenia wszyscy mają teraz w misce - napisała Anna.

W rezultacie uzyskała dostęp do 10950 podajników.

„Możesz zdalnie wysłać żądanie do podajnika z linkiem do oprogramowania układowego, sterownik pobierze je, zainstaluje i uruchomi ponownie. Teoretycznie można zmusić podajniki do uaktualnienia do fałszywego oprogramowania układowego, po czym urządzenie umrze całkowicie, a jedynym sposobem na jego naprawę będzie pełna analiza, wlutowanie do styków kontrolera i ręczne wypełnienie oprogramowania układowego. Powiedz to kotom i psom, które jedzą teraz w domu z tej rzeczy i czekają na swoich właścicieli z dwutygodniowego urlopu ”- powiedziała haker.

Natychmiast skontaktowała się z programistami i poinformowała ich o wykrytej podatności. Przedstawiciele Xiaomi podziękowali Annie i obiecali rozwiązać problem. Co prawda, ​​nie otrzymano za to żadnej nagrody.

Kobieta nie popsuła karmników, więc ani jeden kot ani pies nie pozostał głodny.

Źródło: Telegram

{% Urządzenie 403%}

{% Urządzenie 404%}