❏ 站外平台:

安全研究员可以访问全球所有的小米宠物喂食器

作者: 安华金和

| 2019-10-29 09:33      

一位俄罗斯安全研究人员说,她意外地找到了一种方法,可以入侵并接管世界各地的所有小米宠物喂食器。

来自俄罗斯圣彼得堡的安全研究员安娜·普罗维茨托娃在上周在其 Telegram 私人频道上发布的一系列消息中说,她发现了小米 FurryTail 智能宠物喂食器的后端 API 和固件中的漏洞。

这些是智能宠物食品容器,可以通过移动应用程序对其进行配置,以在一天中的特定时间释放少量食物。

小米 FurryTail 设备专门用于处理猫和狗的食物,当主人在长途旅行中将宠物独自留在房屋或公寓中时,通常会使用它们。

研究人员找到了 10,950 个 FURRYTAIL 喂料器

普罗维茨托娃说,当她看着自己仅从速卖通购买的设备(80 美元)时,发现 API 使她能够看到世界各地所有其他激活的 FurryTail 设备。

她总共发现了 10,950 台设备,研究人员声称她可以在不需要密码的情况下更改喂食时间表。

此外,她发现设备还使用 ESP8266 芯片组进行 WiFi 连接。她说,该芯片组中的漏洞使攻击者可以下载和安装新固件,然后重新启动送纸器,以便更改得以保留。

Prosvetova 表示,该漏洞对于希望将宠物喂食器劫持到 IoT DDoS 僵尸网络中的黑客来说非常理想,因为整个过程可以轻松实现自动化并大规模进行。

小米上周收到通知

研究人员上周通过电子邮件联系了小米,并将发现的安全漏洞通知了中国供应商。在她的 Telegram 频道上发布的后续消息中,她发布了供应商回复的屏幕截图,其中确认了错误并承诺会进行修复。

小米发言人没有发回电子邮件,要求提供有关补丁的详细信息。

目前尚不清楚是否已部署了修复程序,但是 Prosvetova 避免发布有关她发现的错误的确切详细信息,从而使供应商有更多时间来解决此问题。小米代表还告诉研究人员,她没有资格获得漏洞赏金,因为该公司没有像大多数大型科技公司那样运行漏洞奖励计划(VRP)。

来源:ZDNet

更多资讯

TikTok 回应美议员安全质疑:美国用户数据都存在美国

10 月 24 日,美国参议院民主党领袖 Chuck Schumer 和共和党参议员 Tom Cotton 宣布,已经致信给美国国家情报部门执行责任人 Joseph Maguire,要求正式对 TikTok 进行国家安全风险评估。

来源:澎湃新闻
详情链接:https://www.dbsec.cn/blog/article/5312.html 

Tor Browser 9.0 发布

Tor 项目释出了基于 Firefox 68 ESR 的首个版本 Tor Browser 9.0。Tor Browser 9.0 包含了大量组件更新,如桌面版更新到 Tor 0.4.1.6 和 OpenSSL 1.1.1d,Android 版更新到 Tor 0.4.1.5。

来源:solidot.org
详情链接:https://www.dbsec.cn/blog/article/5313.html 

16 岁“黑客”被网警抓获 非法控制 1200 个网站牟利

今年 8 月份以来,青岛市公安局网警支队通过工作发现,有人频繁利用“菜刀”等黑客软件对青岛部分网站进行嗅探、攻击,青岛市 3 家企业网站疑似已被非法控制。

来源:大众网
详情链接:https://www.dbsec.cn/blog/article/5314.html 

(信息来源于网络,安华金和搜集整理)



最新评论


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。