Тисячі пристроїв. Російська хакерка зламала новинку від Xiaomi
IT-спеціалістка Анна Просвєтова розповіла, що їй вдалося зламати і отримати доступ до даних всіх автоматичних годівниць Furrytail Pet Smart Feeder від Xiaomi.
За словами Просвєтової, це її найуспішніший і несподіваний злам — він вийшов випадково під час вивчення API пристроїв.
«У мене на екрані бігають логи з усіх існуючих годівниць, я бачу дані про вайфай-мережі бідних китайців, які купили собі ці пристрої. Можу парою кліків несподівано нагодувати всіх котиків і собачок, а можу навпаки позбавити їх їжі, видаливши розклад з пристроїв. бачу, скільки у кого в мисці корми зараз лежить », — розповіла хакерка.
На момент злому Просвєтова спостерігала онлайн 800 таких годівниць, але потім вона з’ясувала, що насправді їх мінімум 6 500, а потім нарахувала вже 10 950 унікальних пристроїв.
Вона зазначила, що мікроконтролер ESP8266 в годівниці дозволяє встановити на всі пристрої прошивку-пустушку і вбити їх, або організувати DDOS-ботнет. Просвєтова вже сповістила виробника про знайдену уразливість.
«У теорії, можна змусити годівниці оновитися на прошивку-пустушку, після чого пристрій помре повністю, і єдиним способом лагодження буде повний розбір, подпайка до пінів контролера і ручна заливка прошивки», — підкреслила вона.
Навесні Xiaomi збирала на ці годівниці кошти через фірмовий майданчик колективного фінансування, а тепер вони доступні у відкритому продажі, в тому числі на AliExpress. Ціна становить близько $ 90.
матеріалів розділу Техно
Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.
