Programer Anna Prosvetova kupili hranilicu za ptice Xiaomi Furrytail ljubimce Smart Feeder i ja sam htjela da ga razdvojiti od kineskih oblaka, prisiljavajući kontrolira na lokalnoj razini. Tijekom istraživanja, kontrola protokola Anna otkrila ogromnu sigurnosnu rupu, dopuštajući daljinsko upravljanje svih tih hranilica u svijetu.
Automatski uvlakač Xiaomi Furrytail kućni Smart Feeder kontrolira mobilnim aplikacijama i omogućuje da se izlije u posudu suhe hrane za pse i mačke iz chetyrohlitrovogo kontejner. Gorivo se provodi kao timer i aplikacijski tim.
Na njegovo veliko iznenađenje, Anna je utvrdio da je mogla dobiti pristup svim 10950 takve hranilice, koje djeluju u svijetu.
Ona je napisao: „Imam ekran trčanje zapisnike sa svih postojećih ispuna, vidim podatke o vayfay mrežama siromašnih Kineza koji su kupili uređaj. Može par klikova neočekivano hraniti svi lavovi i psi, i obrnuto ih lišiti hrane, uklanjanje raspored iz uređaja. Ja mogu vidjeti kako se netko u zdjelu hrane sada laže. "
Ali to nije najgore. Feeder podržava ažuriranje upravljačkog softvera „preko zraka”, pa ako rupa nije pronađena ruski ljubitelj brtve, a jedan zao haker, mogao ispuniti sve hranilica ih firmware pretvara u „cigle” (tada vratiti uređaj mogao samo ga rastaviti, lem kontakti na programer kontroler i uvala firmware ručno, iako je moguće da će morati u potpunosti promijeniti naboj elektronika).
Srećom, Anna ne želi da postane svjetski vladar pečata, već jednostavno o tome obavijestiti proizvođača o problemu i kako ga eliminirati. Kao odgovor, pisali smo kako je „ranjivost je fiksna i njegov se podaci obrađuju tehnički stručnjaci”, ali u ovom trenutku rupa nije zatvoren.
Prema Anna, problem samo kacaetsya hranilice i ne odnose se na ostale Xiaomi uređajima.
Većina „pametnih uređaja” koja prolazi kroz kineski oblaka i koliko dobro njihov softver sigurnosna pitanja riješena ništa drugo nego kineski programera ne znam. Nekoliko godina bio je velika priča s jeftinim home sigurnosnih kamera koje se mogu koristiti s Zadana lozinka, što je moguće za svakoga da izvidi na one njihovih vlasnika, koji nisu promijenili lozinku nakon kupovina. Tu su još špijuniranje forumi gdje su zajednički sočne screenshotove i raspravlja osobni život bezazlen vlasnika kamera.
Broj pametnih uređaja u našim domovima u stalnom porastu. Imam sada „u oblacima” krovni vijenac i nadzorni sustav kod kuće i na vikend. Ja pokriti potencijal hakiranja ne samo lozinke, ali i fizički odspajanja uređaja (kamera samo rad kod kuće kad nemam, a vijenac samo kad sam bio tamo), ali većina korisnika „pametnih uređaja” ne štite Mislim da je.
P.s. Pojedinosti o povijesti s koritom Habre. Tu je i upravo Anna odgovori na komentare.
© 2019 Alex Nadozhin
Glavna tema mog bloga - Oprema za ljudski život. Pišem recenzije, razmjenjivati iskustva, razgovarati o svim vrstama zanimljivih stvari. Moj drugi projekt - lamptest.ru. Ja test LED svjetiljke i pomoć shvatiti one koji su dobri a koji nisu.