Програмистка Анна Просветова купила кормушку Xiaomi Furrytail Pet Smart Feeder и хотела отвязать её от китайского облака, заставив управляться локально. В процессе изучения протокола управления Анна обнаружила огромную дыру в безопасности, позволяющую дистанционно управлять всеми такими кормушками в мире.
Автоматическая кормушка Xiaomi Furrytail Pet Smart Feeder управляется с помощью мобильного приложения и позволяет насыпать в миску сухой корм для кошек и собак из четырёхлитрового контейнера. Подача корма осуществляется как по таймеру, так и командой из приложения.
К своему большому удивлению, Анна обнаружила, что может получить доступ ко всем 10950 таким кормушкам, работающим в мире.
Она написала "У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит".
Но это ещё не самое страшное. Кормушка поддерживает обновление прошивки "по воздуху", поэтому если бы дыру нашла не русская любительница котиков, а злобный хакер, он мог бы залить во все кормушки прошивку, превращающую их в "кирпичи" (после этого восстановить работу устройства можно было бы только разобрав его, подпаяв программатор к контактам контроллера и залив прошивку вручную, впрочем не исключено, что пришлось бы полностью менять плату электроники).
К счастью, Анна не хотела становиться мировым властелином котиков, а просто сообщила производителю о проблеме и способах её устранения. В ответе написали, что "уязвимость зафиксирована и данные по ней обрабатываются техническими специалистами", но на текущий момент дыра не закрыта.
По словам Анны, проблема каcается только кормушек и не относится к другим устройствам Xiaomi.
Большинство "умных устройств" работает через китайские облака и насколько хорошо в их программном обеспечении решены вопросы безопасности никто, кроме китайских программистов, не знает. Пару лет назад была громкая история с дешёвыми домашними камерами видеонаблюдения, которые можно было использовать с паролем по умолчанию, что давало возможность всем желающим подсматривать за теми их владельцами, кто не сменил пароль после покупки. Были даже форумы подглядывающих, где они делились пикантными скриншотами и обсуждали личную жизнь ничего не подозревающих владельцев камер.
Количество умных устройств у нас в домах непрерывно растёт. У меня сейчас "в облаках" карниз и системы видеонаблюдения дома и на даче. Я защищаюсь от возможного взлома не только паролями, но и физическим отключением устройств (дома камеры работают только тогда, когда меня нет, а карниз только тогда, когда я есть), но большинство пользователей "умных устройств" о защите не задумывается.
P.S. Подробности истории с кормушкой на Хабре. Там же сама Анна отвечает на комментарии.
© 2019, Алексей Надёжин
Оценили 16 человек
21 кармы