Programista Anna Prosvetova kupił Dokarmianie ptaków Xiaomi Furrytail Pet Inteligentny podajnik i chciałem oddzielić je od chińskiego chmur, zmuszając kontrolowane lokalnie. Podczas badania, protokół sterowania Anna odkryto ogromną lukę bezpieczeństwa, pozwalając na zdalne sterowanie wszystkich tych podajników na świecie.
Automatyczny podajnik Xiaomi Furrytail Pet Inteligentny podajnik jest kontrolowany przez aplikacji mobilnych i pozwala wlać do miski z suchą karmą dla psów i kotów z pojemnika chetyrohlitrovogo. Pasza jest przeprowadzana jako zegar, a zespół aplikacji.
Ku jego wielkiemu zaskoczeniu odkrył, że Anna mogła uzyskać dostęp do wszystkich 10950 takich podajników, działająca na całym świecie.
Pisała: „Mam ekran działa logi z wszystkich istniejących podajnika, widzę danych w sieciach vayfay biednych Chińczyków, którzy kupili urządzenie. Może kilka kliknięć niespodziewanie nakarmić wszystkie lwy i psy, i vice versa może pozbawić ich pokarmu, usuwając harmonogram z urządzeń. widzę, jak ktoś w misce z jedzeniem leży teraz. "
Ale to nie jest najgorsze. Feeder podpory firmware update „over the air”, więc jeśli dziura nie znaleziono rosyjskich uszczelki kochanek, a zły haker, mógłby wypełnić wszystkich podajników firmware zamienia je na „cegły” (następnie przywrócić urządzenie może jedynie brać go od siebie, lutowane styki do programatora kontrolerem a oprogramowaniem zatoka ręcznie, choć jest możliwe, że będzie musiał całkowicie zmienić ładunek elektronika).
Na szczęście Anna nie chciała stać się światowej uszczelki władca, lecz po prostu informuje producenta o tym problemie i jak go wyeliminować. W odpowiedzi napisaliśmy, że „luka jest stała, a jej dane są przetwarzane przez ekspertów technicznych”, ale w tej chwili dziura nie jest zamknięty.
Według Anny, problem tylko karmniki kacaetsya i nie stosują się do innych urządzeń Xiaomi.
Większość „inteligentnych urządzeń” biegnących przez chińskich chmury i jak dobrze ich kwestie bezpieczeństwa oprogramowania rozwiązany żaden inny niż chińskich programistów nie wiem. Kilka lat temu była wielka historia z tanich kamer bezpieczeństwa w domu, które mogą być używane z Domyślne hasło, które stało się możliwe dla wszystkich tych, szpiegować swoich właścicieli, którzy nie zmienili hasło po kupowanie. Były nawet szpiegostwo fora gdzie wspólne soczyste screeny i omówiono prywatnego życia niczego właścicieli kamer.
Liczba inteligentnych urządzeń w naszych domach stale rośnie. Mam teraz „w chmurach” gzyms i System nadzoru domu i przy domku. I okładka potencjał hacking nie tylko hasła, ale również fizycznie odłączania urządzeń (kamery, praca tylko w domu kiedy nie mam, a gzyms tylko kiedy tam byłem), ale większość użytkowników „inteligentnych urządzeń”, aby nie chronić Myślę.
Postscriptum Szczegóły historii z koryta Habré. Jest też bardzo Anna odpowiedzi w komentarzach.
© 2019 Alex Nadozhin
Głównym tematem mojego bloga - Sprzęt dla ludzkiego życia. Piszę recenzje, dzielić się doświadczeniami, porozmawiać o wszelkiego rodzaju ciekawych rzeczy. Mój drugi projekt - lamptest.ru. testy I lampy LED i pomaga dowiedzieć się, które z nich są dobre, a które nie.