10月29日14点更新:小米表示该产品只是小米有品的众筹产品,和小米本身并无关联。
近期,一名俄罗斯安全人员表示,她偶然发现了一种攻击手段,可以入侵并接管世界各地所有的小米宠物喂食器。
来自俄罗斯圣彼得堡的安全研究员Anna provetova上周在她的私人网站上发布了一系列信息,表示她已发现了小米FurryTail智能宠物喂食器后端API和机器固件的漏洞。
小米FurryTail设备是专门为处理猫狗食物而设计的,使用者通过手机上的应用进行设置,FurryTail就可以在每天定时给宠物放出食物。
该产品主要应用于使用者出门远行,把宠物单独留在家或公寓里时。
研究人员找到全球10950个FURRYTAIL
不久前Prosvetova曾花了80美元从AliExpress买了一台FurryTail。经过研究她发现,通过某个API,她可以监测到世界各地所有活动的小米FurryTail。
她一总找到了10950个设备,并且还可以在不需要密码的情况下改变机器的喂食时间。
此外,研究人员还发现该设备使用了ESP8266芯片组进行WiFi连接。她表示这个芯片组此前曾曝出一个漏洞,可让攻击者下载和安装新的固件,只要一重启设备,非法更改就会生效。
Prosvetova表示,这些漏洞对于那些想要劫持宠物喂食器以进行物联网DDoS的黑客来说是再理想不过了,因为整个漏洞利用过程可以很容易地实现自动化和规模化。
小米于上周知晓
这名研究人员上周通过电子邮件联系了小米,将她发现的安全漏洞进行了上报。而在Telegram频道上她贴出了供应商回复的截图,其承诺漏洞会马上修复。
出于安全考虑,Prosvetova目前还没有公开漏洞细节,正等待研究人员发布安全补丁,尚不清楚整体进度如何。小米还告诉研究人员,她并不能获得漏洞奖励,因为该公司并没有现行的漏洞奖励计划(vulnerability rewards program)。不过大多数大型科技公司都有。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/