Тысячи устройств. Русская хакерша взломала новинку от Xiaomi

IT-специалистка Анна Просветова рассказала, что ей удалось взломать и получить доступ к данным всех автоматических кормушек Furrytail Pet Smart Feeder от Xiaomi.

По словам Просветовой, это ее самый успешный и неожиданный взлом — он получился случайно во время изучения API устройств.

Фото: Xiaomi

«У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит», — рассказала хакер.

На момент взлома Просветова наблюдала онлайн 800 таких кормушек, но затем она выяснила, что на самом деле их минимум 6 500, а потом насчитала все 10 950 уникальных устройств.

Она отметила, что микроконтроллер ESP8266 в кормушке позволяет установить на все устройства прошивку-пустышку и убить их, или организовать DDOS-ботнет. Просветова уже известила производителя о найденной уязвимости.

«В теории, можно заставить кормушки обновиться на прошивку-пустышку, после чего устройство умрет полностью, и единственным способом починки будет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки», — подчеркнула она.

Весной Xiaomi собирала на эти кормушки средства через фирменную площадку коллективного финансирования, а теперь они доступны в открытой продаже, в том числе на AliExpress. Цена составляет около $90.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *