Алексей Надёжин (ammo1) wrote,
Алексей Надёжин
ammo1

Categories:

"Русская хакерша" случайно взломала все кормушки Xiaomi

Программистка Анна Просветова купила кормушку Xiaomi Furrytail Pet Smart Feeder и хотела отвязать её от китайского облака, заставив управляться локально. В процессе изучения протокола управления Анна обнаружила огромную дыру в безопасности, позволяющую дистанционно управлять всеми такими кормушками в мире.




Автоматическая кормушка Xiaomi Furrytail Pet Smart Feeder управляется с помощью мобильного приложения и позволяет насыпать в миску сухой корм для кошек и собак из четырёхлитрового контейнера. Подача корма осуществляется как по таймеру, так и командой из приложения.



К своему большому удивлению, Анна обнаружила, что может получить доступ ко всем 10950 таким кормушкам, работающим в мире.

Она написала "У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит".

Но это ещё не самое страшное. Кормушка поддерживает обновление прошивки "по воздуху", поэтому если бы дыру нашла не русская любительница котиков, а злобный хакер, он мог бы залить во все кормушки прошивку, превращающую их в "кирпичи" (после этого восстановить работу устройства можно было бы только разобрав его, подпаяв программатор к контактам контроллера и залив прошивку вручную, впрочем не исключено, что пришлось бы полностью менять плату электроники).

К счастью, Анна не хотела становиться мировым властелином котиков, а просто сообщила производителю о проблеме и способах её устранения. В ответе написали, что "уязвимость зафиксирована и данные по ней обрабатываются техническими специалистами", но на текущий момент дыра не закрыта.

По словам Анны, проблема каcается только кормушек и не относится к другим устройствам Xiaomi.


Большинство "умных устройств" работает через китайские облака и насколько хорошо в их программном обеспечении решены вопросы безопасности никто, кроме китайских программистов, не знает. Пару лет назад была громкая история с дешёвыми домашними камерами видеонаблюдения, которые можно было использовать с паролем по умолчанию, что давало возможность всем желающим подсматривать за теми их владельцами, кто не сменил пароль после покупки. Были даже форумы подглядывающих, где они делились пикантными скриншотами и обсуждали личную жизнь ничего не подозревающих владельцев камер.

Количество умных устройств у нас в домах непрерывно растёт. У меня сейчас "в облаках" карниз и системы видеонаблюдения дома и на даче. Я защищаюсь от возможного взлома не только паролями, но и физическим отключением устройств (дома камеры работают только тогда, когда меня нет, а карниз только тогда, когда я есть), но большинство пользователей "умных устройств" о защите не задумывается.

P.S. Подробности истории с кормушкой на Хабре. Там же сама Анна отвечает на комментарии.

© 2019, Алексей Надёжин




Основная тема моего блога - техника в жизни человека. Я пишу обзоры, делюсь опытом, рассказываю о всяких интересных штуках. А ещё я делаю репортажи из интересных мест и рассказываю об интересных событиях.
Добавьте меня в друзья здесь. Запомните короткие адреса моего блога: Блог1.рф и Blog1rf.ru.

Второй мой проект - lamptest.ru. Я тестирую светодиодные лампы и помогаю разобраться, какие из них хорошие, а какие не очень.
Tags: Безопасность, Умный дом
Subscribe

Recent Posts from This Journal

  • В Москву пришла беда откуда не ждали

    С 9 мая в Москве начинают меняться маршруты многих автобусов. Не знаю, как в других районах, но у нас в Свиблово всё становится значительно хуже.…

  • Редкий замок Пензмаш ЗВ01

    Этот замок почти невозможно найти в магазинах, но по защитным свойствам он превосходит многие обычные замки, а по цене сравним с ними. Я нашёл…

  • Компрессор совершил харакири

    Начал я накачивать колёса велосипедов и на втором колесе внутри компрессора что-то очень громко загремело и качать он перестал. История покупки…

  • Chia: капец компьютерной индустрии

    Вчера на нескольких биржах начались торги криптовалютой Chia. Цены на жёсткие диски выросли почти втрое и их почти невозможно найти в продаже.…

  • Размышления про септик

    Моей даче в этом году исполняется 21 год. Я решил, что это повод оснастить её уже наконец нормальным туалетом с унитазом. :) Долго думал, где…

  • Как заменить приваренный замок без сварки

    В новом гараже на воротах установлен сувальдный замок, вот только ключей от него нет, а замок приварен. Я нашёл способ заменить замок, не прибегая к…

  • Как мошенники звонили Джейсону Борну

    Фееричная история! Не могу не поделиться. :) Денис Корнеевский несколько лет назад завёл в магазине "Перекрёсток" скидочную карту. В анкете он…

  • Большой тест батареек CR2032

    Цены на разные литиевые батарейки CR2032 отличаются в десятки раз. Мне всегда было интересно выяснить, насколько дешёвые батарейки этого типа…

  • Антенна - усилитель интернет-сигнала РЭМО Highway

    Один из "трофеев", привезённых мной с завода РЭМО из Саратова, - внешняя MIMO-антенна 3G/4G, позволяющая существенно улучшить приём и увеличить…

promo ammo1 february 14, 2017 19:00 167
Buy for 200 tokens
В отличие от обычных ламп накаливания, различающихся только мощностью и качеством изготовления, светодиодные лампы имеют много параметров, влияющих на качество и безопасность освещения. Я расскажу об основных параметрах светодиодных ламп и порекомендую, какие лампы лучше подойдут для дома.…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 122 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →

Recent Posts from This Journal

  • В Москву пришла беда откуда не ждали

    С 9 мая в Москве начинают меняться маршруты многих автобусов. Не знаю, как в других районах, но у нас в Свиблово всё становится значительно хуже.…

  • Редкий замок Пензмаш ЗВ01

    Этот замок почти невозможно найти в магазинах, но по защитным свойствам он превосходит многие обычные замки, а по цене сравним с ними. Я нашёл…

  • Компрессор совершил харакири

    Начал я накачивать колёса велосипедов и на втором колесе внутри компрессора что-то очень громко загремело и качать он перестал. История покупки…

  • Chia: капец компьютерной индустрии

    Вчера на нескольких биржах начались торги криптовалютой Chia. Цены на жёсткие диски выросли почти втрое и их почти невозможно найти в продаже.…

  • Размышления про септик

    Моей даче в этом году исполняется 21 год. Я решил, что это повод оснастить её уже наконец нормальным туалетом с унитазом. :) Долго думал, где…

  • Как заменить приваренный замок без сварки

    В новом гараже на воротах установлен сувальдный замок, вот только ключей от него нет, а замок приварен. Я нашёл способ заменить замок, не прибегая к…

  • Как мошенники звонили Джейсону Борну

    Фееричная история! Не могу не поделиться. :) Денис Корнеевский несколько лет назад завёл в магазине "Перекрёсток" скидочную карту. В анкете он…

  • Большой тест батареек CR2032

    Цены на разные литиевые батарейки CR2032 отличаются в десятки раз. Мне всегда было интересно выяснить, насколько дешёвые батарейки этого типа…

  • Антенна - усилитель интернет-сигнала РЭМО Highway

    Один из "трофеев", привезённых мной с завода РЭМО из Саратова, - внешняя MIMO-антенна 3G/4G, позволяющая существенно улучшить приём и увеличить…