Programador Anna Prosvetova comprou um alimentador de pássaros Xiaomi Furrytail Pet inteligente Feeder e eu queria dissociar-la das nuvens chinesas, forçando controlado localmente. Durante o estudo, protocolo de controle de Anna descobriu uma enorme falha de segurança, permitindo o controle remoto de todos esses alimentadores do mundo.
Alimentador automático de Xiaomi Furrytail Pet inteligente Feeder é controlado por um aplicativo móvel e permite despeje em uma tigela de alimento seco para cães e gatos de recipiente chetyrohlitrovogo. A alimentação é realizada como um temporizador, e a equipe de aplicação.
Para sua grande surpresa, Anna descobriu que podia ter acesso a todos os 10950 tais alimentadores, operando no mundo.
Ela escreveu: "Eu tenho uma tela executando os registros de todos os alimentadores existentes, vejo dados em redes vayfay de chineses pobres que tenham comprado o dispositivo. Pode um par de cliques inesperadamente alimentar todos os leões e cães, e vice-versa pode privá-los de alimentos, eliminando a programação dos dispositivos. Eu posso ver como alguém em um prato de comida agora está mentindo. "
Mas isso não é o pior. suportes Alimentador de atualização de firmware "over the air", por isso, se um buraco não é encontrado selos amante russo, e um hacker de mal, ele poderia Para preencher todos os alimentadores firmware os transforma em "tijolos" (em seguida, restaurar o dispositivo só pode desmontá-lo, contatos de solda para o programador do controlador eo firmware baía manualmente, embora seja possível que teria que mudar completamente a carga eletrônica).
Felizmente, Anna não quer se tornar um selos governante do mundo, mas simplesmente para informar o fabricante sobre o problema e como eliminá-lo. Em resposta, escreveu que "a vulnerabilidade é fixo e seus dados são processados por especialistas técnicos", mas no momento o buraco não está fechado.
De acordo com Anna, apenas o problema alimentadores kacaetsya e não se aplicam a outros dispositivos Xiaomi.
A maioria dos "dispositivos inteligentes" que atravessam nuvens chinesas e quão bem os seus problemas de segurança de software resolvido ninguém menos que os programadores chineses não sei. Um par de anos atrás, houve uma grande história com câmeras baratas de segurança em casa que podem ser usados com A senha padrão, que tornou possível para que todos possam espionar os dos seus proprietários, que não mudaram a senha após compra. Havia até mesmo espionagem fóruns onde eles compartilhados screenshots suculentos e discutidos vida pessoal de câmeras proprietários desavisados.
Número de dispositivos inteligentes em nossas casas está em constante crescimento. Eu tenho agora "nas nuvens" cornija e sistema de vigilância casa e na casa de campo. I cobrir o potencial hackers não apenas senhas mas os dispositivos também desconectar fisicamente (câmeras único trabalho em casa quando eu não tenho, ea cornija só quando eu estava lá), mas a maioria dos usuários de "dispositivos inteligentes" não para proteger Eu acho.
P. S. Detalhes da história com uma calha Habré. Há também as próprias Anna respostas aos comentários.
© 2019 Alex Nadozhin
O tema principal do meu blog - Equipamento para a vida humana. I escrever comentários, partilhar experiências, falar sobre todos os tipos de coisas interessantes. Meu segundo projeto - lamptest.ru. As lâmpadas LED I teste e ajudar a descobrir quais são bons e quais não são.