Sigurnosni istraživač dobiva pristup svim FurryTail hranilicama za kućne ljubimce diljem svijeta

  • Oct 17, 2023

Ruski sigurnosni istraživač pronašao je greške API-ja i firmvera koje utječu na oko 10 950 hranilica za kućne ljubimce FurryTail.

Xiaomi FurryTail
Slika: Xiaomi

Vidi al

  • 10 opasnih ranjivosti aplikacija na koje treba pripaziti (besplatni PDF)

Ruska sigurnosna istraživačica rekla je da je slučajno pronašla način da hakira i preuzme sve FurryTail hranilice za kućne ljubimce diljem svijeta.

U nizu poruka objavljenih na njezinom privatnom Telegram kanalu prošlog tjedna, Anna Prosvetova, zaštitarka istraživačica iz Sankt Peterburga, Rusija, rekla je da je identificirala ranjivosti u backend API-ju i firmware-u od FurryTail pametne hranilice za kućne ljubimce.

To su pametni spremnici za hranu za kućne ljubimce koji se mogu konfigurirati uz pomoć mobilne aplikacije za ispuštanje malih količina hrane u određeno doba dana.

FurryTail uređaji posebno su napravljeni za rukovanje hranom za mačke i pse, a često se koriste kada vlasnici ostavljaju kućne ljubimce same u kućama ili stanovima dok oni odlaze na duga putovanja.

Istraživač locira 10 950 hranilica FurryTail

Prosvetova je rekla da je dok je gledala uređaj koji je kupila na AliExpressu za samo 80 dolara, otkrila da joj API omogućuje da vidi sve ostale aktivne FurryTail uređaje koji se nalaze diljem svijeta.

Ukupno je pronašla 10.950 uređaja za koje je istraživačica tvrdila da je mogla promijeniti raspored hranjenja bez potrebe za zaporkom.

Nadalje, otkrila je da uređaji također koriste ESP8266 čipset za WiFi povezivanje. Rekla je da bi ranjivost u ovom čipsetu omogućila napadaču da preuzme i instalira novi firmware, a zatim ponovno pokrene ulagače kako bi se promjene zadržale.

Prosvetova je rekla da bi ranjivosti bile idealne za hakere koji pokušavaju otmiti kućnog ljubimca ulagače u IoT DDoS botnet, budući da se cijeli proces može lako automatizirati i provesti na mjerilo.

Xiaomi je obaviješten prošli tjedan, ali ne i njihov problem

U početku je ruski istraživač kontaktirao Xiaomi kako bi tvrtku obavijestio o grešci. Obratila se Xiaomiju jer su se na raznim internetskim tržištima uređaji FurryTail reklamirali kao Xiaomi FurryTail hranilica za kućne ljubimce.

Nekoliko glasnogovornika Xiaomija, uključujući Xiaomijev sigurnosni tim, rekli su za ZDNet ovog tjedna da je FurryTail nije službeni Xiaomi proizvod, a FurryTail ga je prodavao pod Xiaomi brendom bez dopuštenje.

Prvotna odluka Prosvetove da se suzdrži od objavljivanja točnih detalja o sigurnosnim greškama sada se isplatila, jer se problemi još uvijek mogu iskoristiti.

Ažurirano 31. listopada radi uklanjanja spominjanja Xiaomija. Glasnogovornik Xiaomija je za ZDNet rekao da FurryTail prodaje uređaj pod brendom Xiaomi bez dopuštenja i da ovo nije službeni proizvod Xiaomija.

Sigurnost

8 navika iznimno sigurnih radnika na daljinu
Kako pronaći i ukloniti špijunski softver s telefona
Najbolje VPN usluge: Kako se uspoređuju prvih 5?
Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće