Разделы

ПО Безопасность Телеком Техника

Россиянка нашла в кормушках Xiaomi «дыру», через которую можно заморить голодом тысячи котиков и собак по всему миру

Российская исследовательница обнаружила в умных кормушках Xiaomi Furrytail уязвимость, через которую можно прекратить подачу еды всем домашним животным, которые из них едят. Поскольку кормушки используются, когда хозяева надолго уезжают из дома, это может окончиться смертью питомцев. Исследовательница полагает, что у нее есть доступ ко всем таким кормушкам, которые сейчас активны в мире.

Угроза голодной смерти

Российский ИТ-специалист Анна Просветова взломала умные кормушки Xiaomi Furrytail во всем в мире, о чем сообщила в своем Telegram-канале. Через найденную уязвимость исследовательница может одновременно выдать порцию корма всем животным, которые едят из этих устройств, или же, наоборот, лишить их пищи. «Дыра» была обнаружена в API приложения, посредством которого управляются кормушки.

Умные кормушки работают по принципу дозатора, который выдает кошке или собаке определенное количество сухого корма за раз. В мобильном приложении владелец животного может задать расписание приемов пищи и объем порций. Благодаря такому устройству животное можно надолго оставить в пустой квартире в случае отъезда хозяина, не беспокоясь, что оно умрет от голода. Бренд Xiaomi Furrytail выпускает аналогичные устройства для подачи животным питьевой воды.

«У меня на экране бегают логи со всех существующих кормушек, я вижу данные о Wi-Fi-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит», — пишет исследовательница. У нее самой дома есть такая кормушка.

В России кормушку Xiaomi Furrytail можно заказать через площадку AliExpress, где она стоит более 5 тыс. руб. Максимальное количество сухого корма, которое можно засыпать в устройство — около 2 кг.

Технические особенности

Просветова не предоставила подробное описание уязвимости, поскольку та еще не закрыта. Однако она сообщила, что в кормушках используется микроконтроллер ESP8266, который дает возможность установить на все устройства прошивку-пустышку. После этого на усмотрение хакера Xiaomi Furrytail можно вывести из строя или объединить в DDoS-ботнет.

kotiki600.jpg
В кормушках Xiaomi найдена уязвимость, через которую можно заморить голодом тысячи котиков и собак

Если кормушка будет сломана через прошивку-пустышку, то единственным способом ее починить станет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки, поясняет исследовательница. «Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков», — комментирует она свое открытие.

В самом начале исследования Просветова видела онлайн всего 800 устройств. Однако затем в течение суток их было замечено около 11 тыс. Исследовательница полагает, что это, возможно, как раз и есть все работающие кормушки Xiaomi Furrytail.

Реакция компании

Просветова отправила в Furrytail письмо с подробным разбором уязвимости, указанием способа ее нахождения и советами по устранению. «Беда в том, что в этой ситуации нет какой-то конкретной ошибки с их стороны, потому что вся их архитектура — один огромный эпик фейл. Сама не представляю, как это можно исправить в короткий срок», — отмечает она.

Furrytail ответила, пообещав передать информацию для рассмотрения и подтверждения в технический отдел. У компании нет механизма выплаты вознаграждения исследователям за найденные уязвимости.

Валерия Шмырова