Programmer Anna Prosvetova kocht een vogel feeder Xiaomi Furrytail Pet Smart Feeder en ik wilde het los te koppelen van de Chinese wolken, waardoor lokaal aangestuurd. Tijdens de studie, Anna control protocol ontdekt een enorm gat in de beveiliging, waardoor de afstandsbediening van al deze feeders in de wereld.
Automatische feeder Xiaomi Furrytail Pet Smart Feeder wordt gecontroleerd door een mobiele applicatie en maakt het mogelijk om te gieten in een kom met droge voeding voor honden en katten uit chetyrohlitrovogo container. De voeding wordt als een timer, en de toepassing team uitgevoerd.
Tot zijn grote verrassing, Anna vond dat ze toegang hebben tot alle 10.950 dergelijke feeders kunnen krijgen, die actief zijn in de wereld.
Ze schreef: "Ik heb een scherm waarop de logs van alle bestaande feeders, zie ik gegevens over vayfay netwerken van arme Chinezen die het apparaat hebt gekocht. Kan een paar klikken onverwacht voeden alle leeuwen en honden, en vice kan versa hen te beroven van voedsel, het verwijderen van het schema van de apparaten. Ik kan zien hoe iemand in een kom met voedsel nu liegt. "
Maar dat is niet het ergste. Feeder ondersteunt firmware-update "over the air", dus als een gat niet wordt gevonden Russische minnaar zeehonden, en een kwade hacker, kon hij in alle feeders fill firmware verandert ze in "stenen" (toen het herstel van het apparaat kon alleen uit elkaar te halen is, soldeer contacten met de programmeur de controller en de baai firmware handmatig, maar het is mogelijk dat zou hebben om de lading volledig te veranderen elektronica).
Gelukkig Anna wilde niet een wereldheerser zeehonden worden, maar gewoon om de fabrikant te informeren over het probleem en hoe het te elimineren. In reactie daarop schreven we dat "de kwetsbaarheid is bevestigd en de data wordt verwerkt door technische experts", maar op het moment dat het gat niet wordt gesloten.
Volgens Anna, hoeft het probleem zich alleen kacaetsya feeders en niet van toepassing op andere Xiaomi apparaten.
Het merendeel van de "smart devices" die door Chinese wolken en hoe goed hun software security problemen opgelost niemand minder dan de Chinese programmeurs weet het niet. Een paar jaar geleden was er een groot verhaal met een goedkope home security camera's die kunnen worden gebruikt met Het standaard wachtwoord, waardoor het mogelijk gemaakt voor iedereen om te bespioneren die van hun eigenaars, die nog geen wachtwoord heeft gewijzigd na kopen. Er werden zelfs spionage forums waar ze deelden sappige screenshots en besproken persoonlijke leven van nietsvermoedende eigenaars camera's.
Aantal slimme apparaten in onze huizen wordt steeds groter. Ik heb nu "in de wolken" kroonlijst en bewakingssysteem thuis en in het huisje. Ik bespreek de mogelijkheden hacken niet alleen wachtwoorden, maar ook fysiek loskoppelen van apparaten (camera's werken alleen thuis als ik niet heb, en de kroonlijst pas toen ik daar was), maar de meeste gebruikers van de "smart devices" om niet te beschermen Ik denk.
Postscriptum Details van de geschiedenis met een trog Habré. Er is ook de zeer Anna antwoorden op reacties.
© 2019 Alex Nadozhin
Het belangrijkste thema van mijn blog - Apparatuur voor het menselijk leven. Ik schrijf beoordelingen, ervaringen te delen, praten over allerlei interessante dingen. Mijn tweede project - lamptest.ru. I-test LED-lampen en figuur hulp te komen welke goed zijn en welke niet.