Тысячи кошек и собак оказались в заложниках у российской хакерши
IT-специалист из Санкт-Петербурга Анна Просветова обнаружила колоссальную брешь в безопасности автоматических кормушек для домашних животных Xiaomi. Девушка легко смогла получить доступ к любому экземпляру Furrytail Pet, подключенному к сети в данный момент.
Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.
Автоматическая кормушка является “интеллектуальным” девайсом и может быть легко встроена в инфраструктуру “умного дома”. Для этого в ней есть Wi-Fi, а все операции с кормом могут быть легко распланированы с экрана смартфона, причем даже в поездке — Furrytail Pet поддерживает удаленный доступ из любой точки мира. Судя по всему, именно во время детального изучения этой функции Анна и смогла воспользоваться недокументированными возможностями интерфейса. О находке Анна сообщила в своем личном Telegram-канале, но исключительно в общих чертах, как этого и требует хакерская этика.