Русская хакерша случайно взломала кормушки для животных Furrytail Pet Smart Feeder по всему миру

По сообщению в телеграмм-канале айтишницы из России (koteeq на Хабре), она случайно смогла взломать все автоматические кормушки Xiaomi Furrytail Pet Smart Feeder. Вот, что писала хакерша: «Мда. Вот эти автоматические кормушки продаются по пять тысяч рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит».

Furrytail Pet Smart Feeder — это автоматическая кормушка для домашних кошек и собак. С помощью мобильного приложения в устройстве контролируется время подачи и количество еды в миске любимца. Внутри гаджета имеется специально закрываемый подающей системой контейнер на четыре литра, в котором помещается два килограмма сухого корма. Часть корма дозированно, время от времени, согласно расписанию или по управлению с приложения, высыпается в миску. Благодаря этому гаджету животные могут на несколько дней оставаться в пустой квартире. Также Furrytail выпускает аналогичные автоматические устройства для подачи животным питьевой воды.

Сами кормушки продаются на площадке AliExpress примерно за 5 600 рублей с бесплатной доставкой в Россию. Они достаточно популярны у владельцев домашних животных в Китае и других странах мира.

Вот как девушка онлайн описывала ситуацию в своем канале со взломанными кормушками:

«Не представляю сейчас, что с этим делать, это мой самый успешный (и неожиданный) взлом, так что я немного в ступоре. Не знаю даже, есть ли смысл писать что-то китайцам, денег все равно не дадут, если вообще поймут английский язык».

Деталей уязвимости случайная хакерша автоматических кормушек раскрывать не стала из соображений безопасности, потому что проблема еще не устранена.

Немного позже она написала:

«Прямо сейчас их в онлайне около 800 штук. Не самое распространённое устройство, да. Чё-т ручки дрожат даже. Самое обидное, что одна из них моя. Написала письмо китайцам. Посмотрим, что скажут».

И еще через несколько часов:

«Упс. Выяснилось, что их минимум 6500. Видимо, многие спали китайской ночью. И ещё кое-что. Там в кормушке стоит ESP8266. На кормушку можно удаленно послать запрос с ссылкой на прошивку, контроллер скачает ее, установит и перезагрузится.

В теории можно заставить эти 7 тысяч кормушек обновиться на прошивку-пустышку, после чего устройство умрет полностью и единственным способом починки будет полный разбор, подпайка к пинам контроллера и ручная заливка прошивки. Скажите это котикам и собачкам, которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков. Или DDOS-ботнет. Это просто отвратительно, представить даже страшно».

Девушке пришел ответ от производителя, в котором сообщается, что уязвимость зафиксирована и данные по ней обрабатываются техническими специалистами. К сожалению, у производителя нет программы по мотивации пользователей, которые нашли уязвимость в их устройствах, поэтому награды за переданную информацию ей не предоставят.

Вот что написала девушка об этом ответе: «Тем временем их уже 11к активных Ех, буду альтруисткой».

Потом она добавила следующее:

«Так, пора закончить уже с этим и разгрузить мозг для чего-то другого.

Только что написала китайцам большое письмо с подробным разбором уязвимости, способа её нахождения, даже приложила советы по устранению.

То же самое с превеликим удовольствием расскажу и вам, когда увижу реакцию и фикс со стороны производителя. Беда в том, что в этой ситуации нет какой-то конкретной ошибки с их стороны, потому что вся их архитектура — один огромный эпик фейл. Сама не представляю, как это можно исправить в короткий срок. Наверное, они ничего с этим не сделают, и мне придется думать, как поступать, потому что не хочется оставлять историю в подвешенном состоянии, ведь развязка слишком смешная. В общем, в ближайшее время постов по поводу этой горе-кормушки можете не ждать, наверное.

За сутки замечено 10950 уникальных устройств. Думаю, их примерно столько всего и есть».

Так что, если на Хабре есть желающие, кто хочет пообщаться с автором, то IT-специалистка Анна Просветова, как ее назвали впубликации Rusbase, на которую есть ссылка в ее канале, ждет от вас любых технических вопросов и предложений по этой проблеме в комментариях, если сможет ответить, конечно.

Спустя несколько дней публикация обновилась:

Дополнение от Анны Просветовой:

Искренне печалюсь, что вместо интересных технических историй приходится заниматься урегулированием юридических вопросов. Ох уж этот нудный взрослый мир.

Для всех интересующихся предлагаю несколько фактов об истории с кормушкой Furrytail:

1. Подробности об уязвимости, найденной мной ранее, были сообщены исключительно представителям Furrytail.

2. Ни одно из устройств компании фактически не было подвержено взлому и не пострадало. Недоработка была лишь обнаружена, но не использовалась во вред.

3. Furrytail уже работает над решением проблемы. Строго говоря, уязвимость уже исправлена, осталось уладить несколько финальных моментов.

4. Ни одна из текущих публикаций в китайских СМИ не была согласована со мной и Furrytail, следовательно может содержать недостоверную информацию.

5. Furrytail — независимая компания, и только она производит кормушку, а также занимается технической поддержкой. Xiaomi не имеет отношения к этому устройству, а это устройство не имеет отношения к Xiaomi.

6. Я спасительница котят, а не мучительница.

Ваша Анна Просветова.

Кстати, потом айтишница написала следующее:

"Furrytail оказались большими умничками и наградили меня пятизначным числом рублей (из которого PayPal отобрал четырёхзначное число комиссии...) за найденную уязвимость, несмотря на отсутствие стандартизированной программы bug bounty."

Отправить
Добавить

Нет комментариев