Programmer Anna Prosvetova kaufte einen Vogel-Feeder Xiaomi Furrytail Pet Smart Feeder und ich wollte es von den chinesischen Wolken entkoppeln und zwingt lokal gesteuert. Während der Studie entdeckte Anna-Steuerungsprotokoll eine große Sicherheitslücke, so dass Fernsteuerung aller dieser Zubringer in der Welt.
Automatische Zuführung Xiaomi Furrytail Pet Smart Feeder wird von einer mobilen Anwendung gesteuert und ermöglicht von chetyrohlitrovogo Behältern für Katzen und Hunde in eine Schüssel mit Trockenfutter zu gießen. Das Futter wird als Zeitgeber durchgeführt, und die Anwendung Team.
Zu seiner großen Überraschung fand Anna, dass sie Zugang zu allen 10.950 solcher Anleger gewinnen konnte, in der Welt arbeiten.
Sie schrieb: „Ich habe einen Bildschirm laufen die Protokolle von allen bestehenden Feeder, ich sehe Daten auf vayfay Netzwerke armer Chinesen, die das Gerät gekauft haben. ein paar Klicks können die Löwen und Hunde alle unerwartet füttern, und umgekehrt kann sie der Nahrung berauben, den Zeitplan von den Geräten zu entfernen. Ich kann sehen, wie jemand in einer Schüssel mit Essen liegt jetzt. "
Aber das ist nicht das Schlimmste. Feeder unterstützt Firmware-Update „over the air“, also wenn kein Loch russischen Liebhaber Dichtungen gefunden, und ein böser Hacker, könnte er zu füllen Sie alle Anleger macht sie Firmware in „Ziegel“ (dann das Gerät wieder her nur sie auseinander nehmen konnte, Lötkontakte dem Programmierer die Steuerung und die Bucht Firmware manuell, obwohl es möglich ist, dass die Ladung vollständig müsste sich ändern Elektronik).
Glücklicherweise Anna wollte nicht ein Weltherrscher Siegel, werden, sondern einfach an den Hersteller über das Problem informieren und wie sie zu beseitigen. Als Antwort schrieben wir, dass „die Verwundbarkeit ist festgelegt und seine Daten werden von technischen Experten verarbeitet“, aber im Moment ist das Loch nicht geschlossen.
Laut Anna, das Problem nur kacaetsya Feeder und gelten nicht für andere Xiaomi Geräte.
Die meisten der „Smart Devices“ laufen durch die chinesische Wolken und wie gut ihre Software-Sicherheitslücken behoben nichts anderes als die chinesischen Programmierer weiß es nicht. Vor ein paar Jahren gab es eine große Geschichte mit einer billigen Home-Security-Kameras, die verwendet werden können, mit Das Standard-Passwort, das für alle zu bespitzeln die ihrem Besitzer es möglich gemacht, das das Passwort nicht geändert haben, nachdem Kauf. Es wurden sogar Spionage-Foren, wo sie saftige Screenshots geteilt und diskutierten persönliches Leben von ahnungslosen Besitzern Kameras.
Anzahl von intelligenten Geräten in unseren Häusern wächst ständig. Ich habe jetzt „in den Wolken“ Gesims und Überwachungssystem Zuhause und in der Hütte. Ich behandle das Potenzial nicht nur Passwörter Hacking, sondern auch physisch Geräte (Kameras nur zu Hause arbeiten zu trennen wenn ich nicht habe, und das Gesims nur als ich dort war), aber die meisten Nutzer von „Smart Devices“ zu schützen, nicht Ich denke.
P. S. Details der Geschichte mit einem Trog Habré. Es gibt auch die sehr Anna Antworten auf Kommentare.
© 2019 Alex Nadozhin
Das Hauptthema meines Blogs - Ausrüstung für das menschliche Leben. Ich schreibe Bewertungen, Erfahrungen auszutauschen, reden über alle möglichen interessanten Sachen. Mein zweites Projekt - lamptest.ru. I-Test LED-Lampen und helfen herauszufinden, welche sind gut sind und welche nicht.