俄安全研究員發現小米漏洞,可以訪問全球所有的小米寵物喂食器
責編:gltian |2019-11-01 15:32:25
一位俄羅斯安全研究人員說,她意外地找到了一種方法,可以入侵并接管世界各地的所有小米寵物喂食器。
來自俄羅斯圣彼得堡的安全研究員安娜?·?普羅維茨托娃(?Anna Prosvetova?)上周在其私人?Telegram?上發布的一系列消息中說,她發現了?小米?FurryTail?智能寵物喂食器的后端?API?和固件中的漏洞。
這些是智能寵物食品容器,可以通過移動應用程序對其進行配置,以在一天中的特定時間釋放少量食物。
小米?FurryTail?設備專門用于處理貓和狗的食物,當主人在長途旅行中將寵物獨自留在房屋或公寓中時,通常會使用它們。
研究人員找到了?10,950?個?FURRYTAIL?喂料器
Prosvetova?說,當她看著自己從速賣通購買的設備(?80?美元)時,發現?API?使她能夠看到世界各地所有其他激活的?FurryTail?設備。
她總共發現了?10,950?臺設備,研究人員聲稱她可以在不需要密碼的情況下更改喂食時間表。
此外,她發現設備還使用?ESP8266?芯片組進行?WiFi?連接。她說,該芯片組中的漏洞使攻擊者可以下載和安裝新固件,然后重新啟動送紙器,以便更改得以保留。
Prosvetova?表示,該漏洞對于希望將寵物喂食器劫持到?IoT DDoS?僵尸網絡中的黑客來說非常理想,因為整個過程可以輕松實現自動化并大規模進行。
小米上周收到通知?
研究人員上周通過電子郵件聯系了小米,并將發現的安全漏洞通知了中國供應商。在她的?Telegram?頻道上發布的后續消息中,她發布了供應商回復的屏幕截圖,其中確認了錯誤并承諾會進行修復。
小米發言人沒有發回電子郵件,要求提供有關補丁的詳細信息。
目前尚不清楚是否已部署了修復程序,但是?Prosvetova?避免發布有關該漏洞確切的詳細信息,從而使供應商有更多時間來解決此問題。小米代表還告訴研究人員,她沒有資格獲得漏洞賞金,因為該公司沒有像大多數大型科技公司那樣運行漏洞獎勵計劃(?VRP?)。
轉載自安全加:http://toutiao.secjia.com/article/page?topid=112087