一位俄罗斯安全研究人员说,她意外地找到了一种方法,可以入侵并接管世界各地的所有小米宠物喂食器。
来自俄罗斯圣彼得堡的安全研究员安娜 · 普罗维茨托娃( Anna Prosvetova )上周在其私人 Telegram 上发布的一系列消息中说,她发现了 小米 FurryTail 智能宠物喂食器的后端 API 和固件中的漏洞。
这些是智能宠物食品容器,可以通过移动应用程序对其进行配置,以在一天中的特定时间释放少量食物。
小米 FurryTail 设备专门用于处理猫和狗的食物,当主人在长途旅行中将宠物独自留在房屋或公寓中时,通常会使用它们。
研究人员找到了 10,950 个 FURRYTAIL 喂料器
Prosvetova 说,当她看着自己从速卖通购买的设备( 80 美元)时,发现 API 使她能够看到世界各地所有其他激活的 FurryTail 设备。
她总共发现了 10,950 台设备,研究人员声称她可以在不需要密码的情况下更改喂食时间表。
此外,她发现设备还使用 ESP8266 芯片组进行 WiFi 连接。她说,该芯片组中的漏洞使攻击者可以下载和安装新固件,然后重新启动送纸器,以便更改得以保留。
Prosvetova 表示,该漏洞对于希望将宠物喂食器劫持到 IoT DDoS 僵尸网络中的黑客来说非常理想,因为整个过程可以轻松实现自动化并大规模进行。
小米上周收到通知
研究人员上周通过电子邮件联系了小米,并将发现的安全漏洞通知了中国供应商。在她的 Telegram 频道上发布的后续消息中,她发布了供应商回复的屏幕截图,其中确认了错误并承诺会进行修复。
小米发言人没有发回电子邮件,要求提供有关补丁的详细信息。
目前尚不清楚是否已部署了修复程序,但是 Prosvetova 避免发布有关该漏洞确切的详细信息,从而使供应商有更多时间来解决此问题。小米代表还告诉研究人员,她没有资格获得漏洞赏金,因为该公司没有像大多数大型科技公司那样运行漏洞奖励计划( VRP )。
转载自安全加:http://toutiao.secjia.com/article/page?topid=112087