Тысячи кошек и собак оказались в заложниках у российской хакерши

IT-специалист из Санкт-Петербурга Анна Просветова обнаружила колоссальную брешь в безопасности автоматических кормушек для домашних животных Xiaomi. Девушка легко смогла получить доступ к любому экземпляру Furrytail Pet, подключенному к сети в данный момент.
Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Автоматическая кормушка является «интеллектуальным» девайсом и может быть легко встроена в инфраструктуру «умного дома». Для этого в ней есть Wi-Fi, а все операции с кормом могут быть легко распланированы с экрана смартфона, причем даже в поездке — Furrytail Pet поддерживает удаленный доступ из любой точки мира. Судя по всему, именно во время детального изучения этой функции Анна и смогла воспользоваться недокументированными возможностями интерфейса. О находке Анна сообщила в своем личном Telegram-канале, но исключительно в общих чертах, как этого и требует хакерская этика.

Xiaomi Furrytail Pet
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Согласно «правилам приличия», если специалист обнаруживает баг (ошибку в коде) или иную брешь в защите, он или она сообщает об этом сначала создателям программы. У разработчиков будет время на исправление недочетов, а чтобы злоумышленники не воспользовались данной информацией, о ней либо вовсе не сообщается публично, либо дается самое общее описание (как и сделала Анна). Обычно, хакеры дают на устранение проблемы определенный срок, после чего раскрывают обстоятельства взлома. Как правило, крупные IT-компании имеют специальные программы поощрения таких отчетов о найденных уязвимостях, однако это не является правилом. Просветова отчиталась, что отправила в техподдержку Xiaomi подробное письмо с описанием своих действий, которые привели к получения контроля над всеми Furrytail Pet в мире.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Беда в том, что в этой ситуации нет какой-то конкретной ошибки с их стороны, потому что вся их архитектура — один огромный эпик фейл. Сама не представляю, как это можно исправить в короткий срок. Наверное, они ничего с этим не сделают, и мне придется думать, как поступать, потому что не хочется оставлять историю в подвешенном состоянии, ведь развязка слишком смешная.

Безопасность инфраструктуры «умного дома» зависит от защищенности каждого отдельного устройства в его сети. Данный инцидент показывает, что производители не всегда предусматривают возможные атаки на свои продукты. Просветова не первый раз анализирует бытовую технику Xiaomi. Ранее она обнаружила аналогичную проблему с чайником Kettle — в нем также нет никакой защиты от несанкционированного доступа к устройству.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Ах да, про чайник. Мало того, что там никакое подтверждение на самом деле не нужно, вы можете управлять соседским чайником из подъезда без его разрешения, так еще и предыдущая регистрация сбросится. У соседа чайник пропадет из приложения Mi Home. Если будете сидеть в подъезде и регистрироваться раз в 5 секунд в цикле, сосед даже не сможет вернуть контроль над устройством.
Домашние питомцы хакерши осваивают высокотехнологичный способ кормления. Скриншот из любезно предоставленного Анной видео.
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Несомненно, даже если Анна так и не опубликует свой способ захвата «умных» кормушек, это рано или поздно сделает кто-нибудь другой. Furrytail Pet, как и многие другие гаджеты для «умного дома», построена на базе очень распространенного контроллера ESP8266. Он хорошо известен энтузиастам, равно как не представляет проблемы и изучить API (программный интерфейс) кормушки. У Xiaomi не так уж и много времени для создания «заплатки».

Чтобы избежать подобных проблем с «умными» гаджетами и бытовой техникой, можно следовать достаточно простым рекомендациям. Во-первых, устройства не стоит подключать к облачным сервисам производителя, а любые их самостоятельные попытки выйти в сеть следует заблокировать на уровне маршрутизатора. Большинство роутеров имеют функционал файрволла — сетевого экрана. Во-вторых, следует выбирать такую домашнюю электронику, которая поддерживает управление через сторонние приложения. Такие сервисы всегда безопаснее, а также более функциональны и универсальны.