近日,一名俄羅斯安全研究員表示,她偶然發現了一種方法,可以入侵並操縱世界各地所有的小米智能寵物餵食器。
來自俄羅斯聖彼得堡的安全研究員 Anna Provetova 上周在她的私人 Telegram 頻道上發布了這一信息,她表示自己發現了小米 FurryTail 智能寵物餵食器後臺 API 和固件的漏洞。
小米 FurryTail 設備是專門為飼養貓狗而設計的,通常用於主人出門遠行,把寵物單獨留在家裡或公寓的情況。小米 FurryTail 寵物餵食器可以在一天的特定時間自動投放食物。
圖 | 小米智能寵物餵食器(來源:小米)
據報導,Prosvetova 說,她從 AliExpress 花費 80 美元買了一臺小米寵物餵食器,結果發現,通過該設備的 API,她可以看到世界各地所有其他使用中的 Furry Tail 設備。
她總共找到了 10950 個設備,且可以在不需要密碼的情況下改變投餵時間。
此外,她還發現這些設備使用了用於 WiFi 連接的 ESP8266 晶片組,這個晶片組的漏洞可以讓黑客下載和安裝新的固件,然後格式化餵食器,並接管設備。
Prosvetova 表示,這些漏洞對於那些想要黑掉寵物餵食器,進入物聯網 DDoS 殭屍網絡的黑客來說是再理想不過了,因為可以很容易地實現自動化和規模化攻擊。
(來源:Telegram)
這名研究人員上周通過電子郵件聯繫了小米,並將她發現的安全漏洞告知了小米公司。在 Telegram 頻道上發布的後續信息中,她貼出了小米回復的截圖,小米方面承諾將會修復這些漏洞。
-End-
編輯:李亞山
責編:黃珊
參考:
https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/