用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    155

    主题

    155

    帖子

    1498

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-10-28 16:32:13 0473

    22.jpg

    近期,一名俄罗斯安全人员表示,她偶然发现了一种攻击手段,可以入侵并接管世界各地所有的小米宠物喂食器。

    来自俄罗斯圣彼得堡的安全研究员Anna provetova上周在她的私人网站上发布了一系列信息,表示她已发现了小米FurryTail智能宠物喂食器后端API和机器固件的漏洞。

    小米FurryTail设备是专门为处理猫狗食物而设计的,使用者通过手机上的应用进行设置,FurryTail就可以在每天定时给宠物放出食物。

    该产品主要应用于使用者出门远行,把宠物单独留在家或公寓里时。

    研究人员找到全球10950个FURRYTAIL

    不久前Prosvetova曾花了80美元从AliExpress买了一台FurryTail。经过研究她发现,通过某个API,她可以监测到世界各地所有活动的小米FurryTail。

    她一总找到了10950个设备,并且还可以在不需要密码的情况下改变机器的喂食时间。

    此外,研究人员还发现该设备使用了ESP8266芯片组进行WiFi连接。她表示这个芯片组此前曾曝出一个漏洞,可让攻击者下载和安装新的固件,只要一重启设备,非法更改就会生效。

    Prosvetova表示,这些漏洞对于那些想要劫持宠物喂食器以进行物联网DDoS的黑客来说是再理想不过了,因为整个漏洞利用过程可以很容易地实现自动化和规模化。

    小米于上周知晓

    这名研究人员上周通过电子邮件联系了小米,将她发现的安全漏洞进行了上报。而在Telegram频道上她贴出了供应商回复的截图,其承诺漏洞会马上修复。

    出于安全考虑,Prosvetova目前还没有公开漏洞细节,正等待研究人员发布安全补丁,尚不清楚整体进度如何。小米还告诉研究人员,她并不能获得漏洞奖励,因为该公司并没有现行的漏洞奖励计划(vulnerability rewards program)。不过大多数大型科技公司都有。

    33.png

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3099.html
    来源:https://www.zdnet.com/article/security-researcher-gets-access-to-all-xiaomi-pet-feeders-around-the-world/
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册