Наталья Бархатова
Российская IT-специалистка Анна Просветова обнаружила уязвимость в умных кормушках для животных с краудфандинговой площадки Xiaomi и получила доступ ко всем таким кормушкам в мире. Об этом она напиcала в своем телеграм-канале про технологии.
Россиянке удалось получить доступ ко всем кормушкам для животных Xiaomi из-за уязвимости
Наталья Бархатова
Речь идет о кормушке Furrytail Pet Smart Feeder, которая сама кормит животных по графику, который задал владелец через приложение. Уязвимость к взлому Просветова обнаружила, когда изучала API приложения.
«У меня на экране бегают логи со всех существующих кормушек, я вижу данные о Wi-Fi-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу, наоборот, лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит», — написала Просветова.
Деталей уязвимости Просветова раскрывать не стала из соображений безопасности, потому что она еще не устранена.
Изначально Просветова видела онлайн около 800 уникальных устройств, а на момент написания этой заметки их было почти 11 тысяч. Она отметила, что при желании все эти устройства можно легко сломать.
«В теории можно заставить эти кормушки обновиться на прошивку-пустышку, после чего устройство умрет, и единственным способом починки будет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки. Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков», — рассказала она.
Кормушка Furrytail Pet Smart Feeder вышла весной 2019 года на краудфандинговой платформе Xiaomi Youpin. Производителей кормушки является китайская компания Furrytail, прямого отношения к Xiaomi не имеющая.
Просветова уже написала в компанию, откуда ей ответили, что передадут сообщение об уязвимости техническим специалистам.
Кормушка не продается в России, однако ее можно купить на AliExpress или сайтах, которые доставляют товары из Китая. Она стоит в районе 5 тысяч рублей.
Источник: