IT-специалист из Санкт-Петербурга Анна Просветова обнаружила колоссальную брешь в безопасности автоматических кормушек для домашних животных Xiaomi. Девушка легко смогла получить доступ к любому экземпляру Furrytail Pet, подключенному к сети в данный момент.
Василий Парфенов

Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.

Автоматическая кормушка является «интеллектуальным» девайсом и может быть легко встроена в инфраструктуру «умного дома». Для этого в ней есть Wi-Fi, а все операции с кормом могут быть легко распланированы с экрана смартфона, причем даже в поездке — Furrytail Pet поддерживает удаленный доступ из любой точки мира. Судя по всему, именно во время детального изучения этой функции Анна и смогла воспользоваться недокументированными возможностями интерфейса. О находке Анна сообщила в своем личном Telegram-канале, но исключительно в общих чертах, как этого и требует хакерская этика.

Xiaomi Furrytail Pet Наибольшее количество «умных» кормушек, которое Просветова увидела онлайн — чуть менее 11 тысяч. Furrytail Pet создавалась в рамках краудфандинговой платформы Xiaomi и является не самым популярным продуктом компании. Стоимость гаджета составляет порядка 5,5 тысяч рублей.

Согласно «правилам приличия», если специалист обнаруживает баг (ошибку в коде) или иную брешь в защите, он или она сообщает об этом сначала создателям программы. У разработчиков будет время на исправление недочетов, а чтобы злоумышленники не воспользовались данной информацией, о ней либо вовсе не сообщается публично, либо дается самое общее описание (как и сделала Анна). Обычно, хакеры дают на устранение проблемы определенный срок, после чего раскрывают обстоятельства взлома. Как правило, крупные IT-компании имеют специальные программы поощрения таких отчетов о найденных уязвимостях, однако это не является правилом. Просветова отчиталась, что отправила в техподдержку Xiaomi подробное письмо с описанием своих действий, которые привели к получения контроля над всеми Furrytail Pet в мире.

Беда в том, что в этой ситуации нет какой-то конкретной ошибки с их стороны, потому что вся их архитектура — один огромный эпик фейл. Сама не представляю, как это можно исправить в короткий срок. Наверное, они ничего с этим не сделают, и мне придется думать, как поступать, потому что не хочется оставлять историю в подвешенном состоянии, ведь развязка слишком смешная.

Безопасность инфраструктуры «умного дома» зависит от защищенности каждого отдельного устройства в его сети. Данный инцидент показывает, что производители не всегда предусматривают возможные атаки на свои продукты. Просветова не первый раз анализирует бытовую технику Xiaomi. Ранее она обнаружила аналогичную проблему с чайником Kettle — в нем также нет никакой защиты от несанкционированного доступа к устройству.

Ах да, про чайник. Мало того, что там никакое подтверждение на самом деле не нужно, вы можете управлять соседским чайником из подъезда без его разрешения, так еще и предыдущая регистрация сбросится. У соседа чайник пропадет из приложения Mi Home. Если будете сидеть в подъезде и регистрироваться раз в 5 секунд в цикле, сосед даже не сможет вернуть контроль над устройством.

Домашние питомцы хакерши осваивают высокотехнологичный способ кормления. Скриншот из любезно предоставленного Анной видео. Домашние питомцы хакерши осваивают высокотехнологичный способ кормления. Скриншот из любезно предоставленного Анной видео.

Несомненно, даже если Анна так и не опубликует свой способ захвата «умных» кормушек, это рано или поздно сделает кто-нибудь другой. Furrytail Pet, как и многие другие гаджеты для «умного дома», построена на базе очень распространенного контроллера ESP8266. Он хорошо известен энтузиастам, равно как не представляет проблемы и изучить API (программный интерфейс) кормушки. У Xiaomi не так уж и много времени для создания «заплатки».

Чтобы избежать подобных проблем с «умными» гаджетами и бытовой техникой, можно следовать достаточно простым рекомендациям. Во‑первых, устройства не стоит подключать к облачным сервисам производителя, а любые их самостоятельные попытки выйти в сеть следует заблокировать на уровне маршрутизатора. Большинство роутеров имеют функционал файрволла — сетевого экрана. Во‑вторых, следует выбирать такую домашнюю электронику, которая поддерживает управление через сторонние приложения. Такие сервисы всегда безопаснее, а также более функциональны и универсальны.

Интересно как устроен ядерный реактор и могут ли роботы построить дом?
Все о новых технологиях и изобретениях!
Спасибо.
Мы отправили на ваш email письмо с подтверждением.