俄罗斯研究人员表示可访问全球所有小米宠物喂食器 – 作者:白帽汇

22.jpg

近期,一名俄罗斯安全人员表示,她偶然发现了一种攻击手段,可以入侵并接管世界各地所有的小米宠物喂食器。

来自俄罗斯圣彼得堡的安全研究员Anna provetova上周在她的私人网站上发布了一系列信息,表示她已发现了小米FurryTail智能宠物喂食器后端API和机器固件的漏洞。

小米FurryTail设备是专门为处理猫狗食物而设计的,使用者通过手机上的应用进行设置,FurryTail就可以在每天定时给宠物放出食物。

该产品主要应用于使用者出门远行,把宠物单独留在家或公寓里时。

研究人员找到全球10950个FURRYTAIL

不久前Prosvetova曾花了80美元从AliExpress买了一台FurryTail。经过研究她发现,通过某个API,她可以监测到世界各地所有活动的小米FurryTail。

她一总找到了10950个设备,并且还可以在不需要密码的情况下改变机器的喂食时间。

此外,研究人员还发现该设备使用了ESP8266芯片组进行WiFi连接。她表示这个芯片组此前曾曝出一个漏洞,可让攻击者下载和安装新的固件,只要一重启设备,非法更改就会生效。

Prosvetova表示,这些漏洞对于那些想要劫持宠物喂食器以进行物联网DDoS的黑客来说是再理想不过了,因为整个漏洞利用过程可以很容易地实现自动化和规模化。

小米于上周知晓

这名研究人员上周通过电子邮件联系了小米,将她发现的安全漏洞进行了上报。而在Telegram频道上她贴出了供应商回复的截图,其承诺漏洞会马上修复。

出于安全考虑,Prosvetova目前还没有公开漏洞细节,正等待研究人员发布安全补丁,尚不清楚整体进度如何。小米还告诉研究人员,她并不能获得漏洞奖励,因为该公司并没有现行的漏洞奖励计划(vulnerability rewards program)。不过大多数大型科技公司都有。

33.png

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3099.html
来源:https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/

来源:freebuf.com 2019-10-28 16:41:18 by: 白帽汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论