近日,一名俄罗斯安全研究员表示,她偶然发现了一种方法,可以入侵并操纵世界各地所有的小米智能宠物喂食器。
来自俄罗斯圣彼得堡的安全研究员 Anna Provetova 上周在她的私人 Telegram 频道上发布了这一信息,她表示自己发现了小米 FurryTail 智能宠物喂食器后台 API 和固件的漏洞。
小米 FurryTail 设备是专门为饲养猫狗而设计的,通常用于主人出门远行,把宠物单独留在家里或公寓的情况。小米 FurryTail 宠物喂食器可以在一天的特定时间自动投放食物。
图 | 小米智能宠物喂食器(来源:小米)
据报道,Prosvetova 说,她从 AliExpress 花费 80 美元买了一台小米宠物喂食器,结果发现,通过该设备的 API,她可以看到世界各地所有其他使用中的 Furry Tail 设备。
她总共找到了 10950 个设备,且可以在不需要密码的情况下改变投喂时间。
此外,她还发现这些设备使用了用于 WiFi 连接的 ESP8266 芯片组,这个芯片组的漏洞可以让黑客下载和安装新的固件,然后格式化喂食器,并接管设备。
Prosvetova 表示,这些漏洞对于那些想要黑掉宠物喂食器,进入物联网 DDoS 僵尸网络的黑客来说是再理想不过了,因为可以很容易地实现自动化和规模化攻击。
(来源:Telegram)
这名研究人员上周通过电子邮件联系了小米,并将她发现的安全漏洞告知了小米公司。在 Telegram 频道上发布的后续信息中,她贴出了小米回复的截图,小米方面承诺将会修复这些漏洞。