Immagine Di: Xiaomi
Un russo, ricercatore di sicurezza, ha detto che lei casualmente trovato un modo per incidere e di tutto il Xiaomi mangiatoie di tutto il mondo.
In una serie di messaggi pubblicati sul suo privato Telegramma canale la scorsa settimana, Anna Prosvetova, un ricercatore di sicurezza da San Pietroburgo, in Russia, ha detto che le vulnerabilità individuate nel backend API e firmware di Xiaomi FurryTail smart mangiatoie.
Queste sono le smart contenitori per alimenti per animali che possono essere configurati con l’aiuto di un app mobile per rilasciare piccole quantità di cibo in alcune ore del giorno.
Xiaomi FurryTail dispositivi specificamente sono costruiti per gestire un gatto e un cane cibo, e sono spesso utilizzati quando i proprietari di lasciare gli animali da soli in case o appartamenti mentre lasciano per lunghi viaggi.
Ricercatore individua 10,950 FurryTail alimentatori
Prosvetova detto che, mentre guardando un dispositivo che ha acquistato da AliExpress per solo $80, ha trovato che l’API ha permesso di vedere tutte le altre FurryTail dispositivi attivi di tutto il mondo.
In totale, ha trovato 10,950 dispositivi, su cui il ricercatore afferma che anche lei avrebbe potuto cambiare schemi di allattamento senza il bisogno di una password.
Inoltre, ha trovato che i dispositivi sono stati anche l’utilizzo di un ESP8266 chipset per la connettività wi-Fi. Ha detto che una vulnerabilità in questo chipset avrebbe permesso a un utente malintenzionato di scaricare e installare il nuovo firmware, e quindi riavviare il alimentatori in modo che le modifiche abbiano premuto.
Prosvetova ha detto che la vulnerabilità sarebbe stato l’ideale per gli hacker che cercano in dirottare le mangiatoie in un IoT DDoS botnet, l’intero processo può essere facilmente automatizzato e condotte a scala.
Xiaomi è stata notificata la scorsa settimana
Il ricercatore contattato Xiaomi via e-mail la settimana scorsa e notificato il venditore Cinese di le falle di sicurezza ha scoperto. In un follow-up messaggio pubblicato sul suo Telegramma del canale, ha pubblicato uno screenshot del venditore la risposta, che acknowleding il bug e ha promesso un fix.
Xiaomi portavoce non ha restituito una e-mail alla ricerca di dettagli sulla patch.
Non è chiaro se un fix è stato distribuito, ma Prosvetova ha evitato di postare esatta dettagli sui bug che ha scoperto, dando più tempo per il venditore per risolvere il problema. Xiaomi rep ha anche detto il ricercatore, lei non sarà eleggibile per un bug bounty perché l’azienda non esegue una vulnerabilità programma di ricompense (VRP), come la maggior parte delle grandi aziende tecnologiche fare.
Sicurezza
Importante produttore tedesco ancora giù una settimana dopo essere stato colpito da ransomware
NordVPN conferma data center violazione
Google per il roll-out dell’aggiornamento ‘nei prossimi mesi per risolvere Pixel 4 Face Unlock di bypass
Perché hai bisogno di pensare alla sicurezza della catena di approvvigionamento (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere il vostro Apple Card (TechRepublic)
Argomenti Correlati:
Internet delle Cose
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati