Програмист Анна Prosvetova купил птица подавач Xiaomi Furrytail Pet Смарт Feeder и аз исках да го разграничи от китайските облаците, принуждавайки контролира локално. По време на проучването, контрол протокол Анна открили огромна дупка в сигурността, която позволява дистанционно управление на всички тези хранилки в света.
Автоматично подаване на Xiaomi Furrytail Pet Смарт устройство се контролира от мобилни приложения и дава възможност да се излива в купа със суха храна за котки и кучета от chetyrohlitrovogo контейнер. Емисията се извършва като таймер, и екипът на приложение.
За голямо негово учудване, Анна установено, че тя може да получи достъп до всички 10950 такива хранилки, работещи в света.
Тя пише: "Имам един екран работи трупи от всички съществуващи хранилки, виждам данни за vayfay мрежи от бедните китайци, които са закупили устройството. Може ли с няколко кликвания неочаквано се хранят всички лъвовете и кучетата, както и обратното може да ги лиши от храна, премахване на графика от устройствата. Мога да видя как някой в купа храна вече е лъжата. "
Но това не е най-лошото. Подаване поддържа актуализация на фърмуера "по въздуха", така че ако една дупка не е намерен руски любовник печати и хакер зло, той би могъл за попълване на всички хранилки фърмуера ги превръща в "тухли" (след това да възстановите устройството може само да го разглобим, спойка контакти на програмиста контролера и дафинов фърмуера ръчно, въпреки че е възможно, че ще трябва да се промени обвинението напълно електроника).
За щастие, Анна не иска да стане световен първенец уплътнения, а просто да се информира за това производителя за проблема и как да го отстранят. В отговор, ние пише, че "уязвимостта е фиксирана и данните се обработват от технически експерти", но в момента дупката не е затворен.
Според Анна, проблемът само kacaetsya хранилки и не важат за други устройства Xiaomi.
Повечето от "умни устройства", които минават през китайски облаци и колко добре техните проблеми, софтуер за сигурност решен никой друг, а китайските програмистите не знам. А преди няколко години имаше голяма история с евтини фотоапарати дома за сигурност, които могат да бъдат използвани с Паролата по подразбиране, което направи възможно за всеки да шпионин на тези на техните собственици, които не са се променили паролата след закупуване. Имаше дори шпиониране форуми, където те споделят сочни снимки на екрани и обсъдени личен живот на нищо неподозиращи собственици камери.
Брой на смарт устройства в домовете ни непрекъснато се разраства. Имам сега "в облаците" корниз и система за наблюдение дома и на вилата. Аз покриване на потенциала хакване не само пароли, но и физически разкачване устройства (фотоапарати работа само у дома когато не е нужно, и корниза, само когато аз бях там), но повечето потребители на "умни устройства", за да не защитават Мисля.
Послепис Подробности за историята с улей Хабре. Има също така и самите Анна отговорите на коментарите.
© 2019 Alex Nadozhin
Основната тема на моя блог - оборудване за човешкия живот. Аз пиша коментари, да споделят опит, да говорим за най-различни интересни неща. Вторият ми проект - lamptest.ru. Аз тест LED лампи и помощ да разбера кои от тях са добри и кои не са.