Тисячі пристроїв. Російська хакерка зламала новинку від Xiaomi

25 жовтня 2019, 10:42

IT-спеціалістка Анна Просвєтова розповіла, що їй вдалося зламати і отримати доступ до даних всіх автоматичних годівниць Furrytail Pet Smart Feeder від Xiaomi.

За словами Просвєтової, це її найуспішніший і несподіваний злам — він вийшов випадково під час вивчення API пристроїв.

«У мене на екрані бігають логи з усіх існуючих годівниць, я бачу дані про вайфай-мережі бідних китайців, які купили собі ці пристрої. Можу парою кліків несподівано нагодувати всіх котиків і собачок, а можу навпаки позбавити їх їжі, видаливши розклад з пристроїв. бачу, скільки у кого в мисці корми зараз лежить », — розповіла хакерка.

Відео дня

На момент злому Просвєтова спостерігала онлайн 800 таких годівниць, але потім вона з’ясувала, що насправді їх мінімум 6 500, а потім нарахувала вже 10 950 унікальних пристроїв.

Вона зазначила, що мікроконтролер ESP8266 в годівниці дозволяє встановити на всі пристрої прошивку-пустушку і вбити їх, або організувати DDOS-ботнет. Просвєтова вже сповістила виробника про знайдену уразливість.

«У теорії, можна змусити годівниці оновитися на прошивку-пустушку, після чого пристрій помре повністю, і єдиним способом лагодження буде повний розбір, подпайка до пінів контролера і ручна заливка прошивки», — підкреслила вона.

Навесні Xiaomi збирала на ці годівниці кошти через фірмовий майданчик колективного фінансування, а тепер вони доступні у відкритому продажі, в тому числі на AliExpress. Ціна становить близько $ 90.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X