俄罗斯研究人员表示可访问全球所有小米宠物喂食器

俄罗斯研究人员表示可访问全球所有小米宠物喂食器

近期,一名俄罗斯安全人员表示,她偶然发现了一种攻击手段,可以入侵并接管世界各地所有的小米宠物喂食器。

来自俄罗斯圣彼得堡的安全研究员 Anna provetova 上周在她的私人网站上发布了一系列信息,表示她已发现了小米 FurryTail 智能宠物喂食器后端 API 和机器固件的漏洞。

小米 FurryTail 设备是专门为处理猫狗食物而设计的,使用者通过手机上的应用进行设置,FurryTail 就可以在每天定时给宠物放出食物。

该产品主要应用于使用者出门远行,把宠物单独留在家或公寓里时。

研究人员找到全球

10950 个 FURRYTAIL

Nosec 安全讯息

不久前 Prosvetova 曾花了 80 美元从 AliExpress 买了一台 FurryTail。经过研究她发现,通过某个 API,她可以监测到世界各地所有活动的小米 FurryTail。

她一找到了 10950 个设备,并且还可以在不需要密码的情况下改变机器的喂食时间。

此外,研究人员还发现该设备使用了 ESP8266 芯片组进行 WiFi 连接。她表示这个芯片组此前曾曝出一个漏洞,可让攻击者下载和安装新的固件,只要一重启设备,非法更改就会生效。

Prosvetova 表示,这些漏洞对于那些想要劫持宠物喂食器以进行物联网 DDoS 的黑客来说是再理想不过了,因为整个漏洞利用过程可以很容易地实现自动化和规模化。

小米于上周知晓

Nosec 安全讯息

这名研究人员上周通过电子邮件联系了小米,将她发现的安全漏洞进行了上报。而在 Telegram 频道上她贴出了供应商回复的截图,其承诺漏洞会马上修复。

出于安全考虑,Prosvetova 目前还没有公开漏洞细节,正等待研究人员发布安全补丁,尚不清楚整体进度如何。小米还告诉研究人员,她并不能获得漏洞奖励,因为该公司并没有现行的漏洞奖励计划(vulnerability rewards program)。不过大多数大型科技公司都有。

俄罗斯研究人员表示可访问全球所有小米宠物喂食器

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:

https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/

白帽汇安全研究院隶属于北京华顺信安科技有限公司。研究院拥有一支从事网络安全研究的资深技术团队,致力于网络信息安全领域的深入探究,研究方向为网络空间测绘、安全大数据、威胁情报、态势感知、区块链安全等前沿安全领域。

俄罗斯研究人员表示可访问全球所有小米宠物喂食器

白帽汇

长按识别二维码,关注白帽汇

俄罗斯研究人员表示可访问全球所有小米宠物喂食器点击下方“阅读原文”查看更多内容。

来源链接:mp.weixin.qq.com