Rosyjska specjalistka od zabezpieczeń odkryła bardzo groźną lukę w API inteligentnego podajnika karmy Xiaomi FurryTail. Błąd pozwala na przejęcie kontroli nad ponad 10 tysiącami urządzeń bez konieczności podawania hasła. Jakby tego było mało, to felerne urządzenie IoT może stać się częścią botnetu i być używane do ataków DDoS.
Problem z powszechnym Internetem Rzeczy jest taki, że jeżeli składa się on z niewłaściwie zabezpieczonych urządzeń, to może stanowić to poważne zagrożenie. Niestety niektórzy producenci inteligentnych urządzeń w dalszym ciągu nie podchodzą właściwie do kwestii związanych z bezpieczeństwem. Szczerze mówiąc, to myślałem, że historia niezabezpieczoną hulajnogą będzie dla Xiaomi wystarczającą nauczką. Niestety, myliłem się. Chińczycy skompromitowali się kolejny raz i to dość poważnie. Inteligentny podajnik karmy Xiaomi FurryTail posiada przynajmniej 3 poważne luki. Pierwszy z nich jest zawarty w API urządzenia, które pozwala się na połączenie z wszystkimi działającymi podajnikami działającymi na całym świecie. Rosyjska specjalistka od zabezpieczeń była w stanie podłączyć się do 10 950 urządzeń i przejąć nad nimi całkowitą kontrolę.
Xiaomi zobowiązało się do załatania luk w inteligentnym podajniku karmy
Pozornie mogłoby się wydawać, że przejęcie inteligentnego podajnika karmy jest małym zagrożeniem. Jednak złośliwy haker nie musi ograniczać się tylko do zdalnego wysypania 2 kg karmy na podłogę. Może on zmienić harmonogram żywienia naszego zwierzęcia, co w niektórych przypadkach może doprowadzić do problemów zdrowotnych pupila. Dodatkowo rosyjska specjalistka znalazła jeszcze dwie inne luki.
Xiaomi FurryTail posiada moduł Wi-Fi z chipsetem ESP8266. Posiada on lukę, która pozwala na zdalne wgranie firmware i ponowne uruchomienie urządzenia. W ten sposób urządzenie IoT może zostać elementem botnetu i służyć do przeprowadzania ataków DDoS. Oczywiście reszta funkcjonalności urządzenia może być nienaruszona, więc użytkownik nawet nie zorientuje się, że jego podajnik karmy jest używany do niecnych celów.
Jakby tego było mało, to moduł Wi-Fi w podajniku Xiaomi podatny jest na atak KRACK. Jednak, żeby go przeprowadzić, hacker musi fizycznie znajdować się w zasięgu sieci Wi-Fi. W zasadzie to ten ostatni punkt pokazuje jak Xiaomi podchodzi do kwestii bezpieczeństwa w urządzeniach IoT. W końcu o ataku KRACK głośno było dokładnie 2 lata temu. Wydawałoby się, że wszyscy producenci zdążyli przerzucić się na sprzęt z zabezpieczonym firmware. Niestety, Xiaomi to umknęło.
Źródło: ZDNet