Programmatore Anna Prosvetova comprato una mangiatoia per uccelli Xiaomi Furrytail Pet intelligente Feeder e volevo disaccoppiare che dalle nuvole cinesi, costringendo controllato localmente. Durante lo studio, protocollo di controllo Anna ha scoperto un enorme buco di sicurezza, che consente il controllo a distanza di tutti questi alimentatori in tutto il mondo.
Alimentatore automatico di Xiaomi Furrytail Pet smart alimentatore è controllato da un'applicazione mobile e permette di versare in una ciotola di cibo secco per cani e gatti dal contenitore chetyrohlitrovogo. L'alimentazione viene effettuata come un timer, e la squadra di applicazione.
Con sua grande sorpresa, Anna ha scoperto che lei potrebbe ottenere l'accesso a tutte le 10950 tali alimentatori, operante nel mondo.
Lei ha scritto, "ho una schermata in esecuzione i log di tutti gli alimentatori esistenti, vedo i dati su reti vayfay di cinesi poveri che hanno acquistato il dispositivo. Può un paio di clic inaspettatamente alimentare tutti i leoni e cani, e viceversa li può privare del cibo, rimuovere il programma dai dispositivi. Posso vedere come qualcuno in una ciotola di cibo ora giace ".
Ma non è questo il peggio. supporti Feeder aggiornamento del firmware "over the air", per cui se un buco non è stato trovato sigilli amante russo e un hacker del male, che poteva Per compilare tutti gli alimentatori li trasforma firmware in "mattoni" (quindi ripristinare il dispositivo non poteva che smontarlo, saldare i contatti al programmatore il controllore e il firmware manualmente baia, anche se è possibile che avrebbe dovuto cambiare completamente la carica elettronica).
Fortunatamente, Anna non voleva diventare un sigilli sovrano del mondo, ma semplicemente per informare il produttore del problema e su come eliminarlo. In risposta, abbiamo scritto che "la vulnerabilità è fisso e elaborare i dati relativi da esperti tecnici", ma al momento del foro non è chiuso.
Secondo Anna, il problema solo alimentatori kacaetsya e non si applicano ad altri dispositivi Xiaomi.
La maggior parte dei "dispositivi intelligenti" che attraversa le nubi cinesi e quanto bene i loro problemi di sicurezza del software risolto altro che i programmatori cinesi non sanno. Un paio di anni fa ci fu una grande storia con un buon mercato telecamere di sicurezza a casa che possono essere utilizzati con La password di default, che ha reso possibile per tutti di spiare quelli dei loro proprietari, che non sono cambiati la password dopo acquisto. C'erano anche spiando forum dove hanno condiviso le immagini di succosi e discussi vita personale di telecamere proprietari ignari.
Numero di dispositivi intelligenti nelle nostre case è in costante crescita. Che ho adesso "tra le nuvole" cornicione e sistema di sorveglianza a casa e al cottage. Copro il potenziale hacker non solo le password ma i dispositivi anche lo rimozione (telecamere solo il lavoro a casa quando non ho, e la cornice unica quando ero lì), ma la maggior parte degli utenti di dispositivi "intelligenti" non proteggere Credo.
Post scriptum Dettagli della storia con un trogolo Habré. C'è anche l'Anna risposte molto ai commenti.
© 2019 Alex Nadozhin
Il tema principale del mio blog - Attrezzature per la vita umana. Scrivo recensioni, condividere esperienze, parlare di un sacco di cose interessanti. Il mio secondo progetto - lamptest.ru. lampade a LED I test e aiutare a capire quali sono buone e quali non lo sono.