俄罗斯研究人员表示可访问全球所有小米宠物喂食器 – 作者:白帽汇

近期，一名俄罗斯安全人员表示，她偶然发现了一种攻击手段，可以入侵并接管世界各地所有的小米宠物喂食器。

来自俄罗斯圣彼得堡的安全研究员Anna provetova上周在她的私人网站上发布了一系列信息，表示她已发现了小米FurryTail智能宠物喂食器后端API和机器固件的漏洞。

小米FurryTail设备是专门为处理猫狗食物而设计的，使用者通过手机上的应用进行设置，FurryTail就可以在每天定时给宠物放出食物。

该产品主要应用于使用者出门远行，把宠物单独留在家或公寓里时。

研究人员找到全球10950个FURRYTAIL

不久前Prosvetova曾花了80美元从AliExpress买了一台FurryTail。经过研究她发现，通过某个API，她可以监测到世界各地所有活动的小米FurryTail。

她一总找到了10950个设备，并且还可以在不需要密码的情况下改变机器的喂食时间。

此外，研究人员还发现该设备使用了ESP8266芯片组进行WiFi连接。她表示这个芯片组此前曾曝出一个漏洞，可让攻击者下载和安装新的固件，只要一重启设备，非法更改就会生效。

Prosvetova表示，这些漏洞对于那些想要劫持宠物喂食器以进行物联网DDoS的黑客来说是再理想不过了，因为整个漏洞利用过程可以很容易地实现自动化和规模化。

小米于上周知晓

这名研究人员上周通过电子邮件联系了小米，将她发现的安全漏洞进行了上报。而在Telegram频道上她贴出了供应商回复的截图，其承诺漏洞会马上修复。

出于安全考虑，Prosvetova目前还没有公开漏洞细节，正等待研究人员发布安全补丁，尚不清楚整体进度如何。小米还告诉研究人员，她并不能获得漏洞奖励，因为该公司并没有现行的漏洞奖励计划（vulnerability rewards program）。不过大多数大型科技公司都有。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3099.html
来源：https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/

来源：freebuf.com 2019-10-28 16:41:18 by: 白帽汇