導讀 來自俄羅斯聖彼得堡的安全研究員安娜·普羅維茨託娃在上週在其 Telegram 私人頻道上發佈的一系列消息中說,她發現了小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞。
小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞
一位俄羅斯安全研究人員說,她意外地找到了一種方法,可以***並接管世界各地的所有小米寵物餵食器。
來自俄羅斯聖彼得堡的安全研究員安娜·普羅維茨託娃在上週在其 Telegram 私人頻道上發佈的一系列消息中說,她發現了小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞。
這些是智能寵物食品容器,可以通過移動應用程序對其進行配置,以在一天中的特定時間釋放少量食物。
小米 FurryTail 設備專門用於處理貓和狗的食物,當主人在長途旅行中將寵物獨自留在房屋或公寓中時,通常會使用它們。
研究人員找到了 10,950 個 FURRYTAIL 喂料器
普羅維茨託娃說,當她看着自己僅從速賣通購買的設備(80 美元)時,發現 API 使她能夠看到世界各地所有其他激活的 FurryTail 設備。
她總共發現了 10,950 臺設備,研究人員聲稱她可以在不需要密碼的情況下更改餵食時間表。
此外,她發現設備還使用 ESP8266 芯片組進行 WiFi 連接。她說,該芯片組中的漏洞使***者可以下載和安裝新固件,然後重新啓動送紙器,以便更改得以保留。
Prosvetova 表示,該漏洞對於希望將寵物餵食器劫持到 IoT DDoS 殭屍網絡中的***來說非常理想,因爲整個過程可以輕鬆實現自動化並大規模進行。
小米上週收到通知
研究人員上週通過電子郵件聯繫了小米,並將發現的安全漏洞通知了中國供應商。在她的 Telegram 頻道上發佈的後續消息中,她發佈了供應商回覆的屏幕截圖,其中確認了錯誤並承諾會進行修復。
小米發言人沒有發回電子郵件,要求提供有關補丁的詳細信息。
小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞小米 FurryTail 智能寵物餵食器的後端 API 和固件中的漏洞
目前尚不清楚是否已部署了修復程序,但是 Prosvetova 避免發佈有關她發現的錯誤的確切詳細信息,從而使供應商有更多時間來解決此問題。小米代表還告訴研究人員,她沒有資格獲得漏洞賞金,因爲該公司沒有像大多數大型科技公司那樣運行漏洞獎勵計劃(VRP)。
更多linux資訊請查看:https://www.linuxprobe.com