Wcale nie tak dawno pisząc o urządzeniach internetu rzeczy w kontekście niebezpieczeństw związanych z ich użytkowaniem podałem przykład inteligentnej lodówki. Napisałem wtedy, że już wkrótce cyberprzestępcy będą mogli włamywać się do lodówek, by zepsuć znajdujące się w nich jedzenie. Zrządzenie losu chciało, aby podobne włamanie miało właśnie miejsce na świecie. Ekspertce ds. zabezpieczeń udało się zhakować wszystkie (!) karmidełka Xiaomi na świecie.
Rosyjska specjalistka była w stanie włamać się do dokładnie 10 950 urządzeń Xiaomi FurryTail, które wykorzystywane przez właścicieli są do automatycznego i „inteligentnego” dozowania jedzenia ich pupilom. Anna Prosvetova z Rosji poinformowała, że znalazła i wykorzystała wrażliwości w backendzie API i firmware urządzeń.
Prosvetova najpierw kupiła kosztujące ok. 80 dolarów karmidełko, aby poznać bliżej jego działanie. Po sparowaniu z aplikacją szybko okazało się, że API pozwalało jej podejrzeć wszystkie urządzenia FuryTail na całym świecie. Rosjanka w sposób zdalny była w stanie dozować jedzenie zwierzakom, na czele z zupełnym odcięciem ich od źródła pożywienia – bez konieczności podawania hasła! Okazało się również, że urządzenia korzystają z chipsetu Wi-Fi ESP8266, umożliwiającego niepowołanej osobie pobranie i zainstalowanie nowego firmware.
Rosjanka skontaktowała się z Xiaomi, a producent obiecał wprowadzenie niezbędnych poprawek. Niestety, pomimo upływu tygodnia wciąż nie wydano odpowiedniej aktualizacji. Prosvetova zapewniła, że metoda nie zostanie na razie udostępniona. Xiaomi poinformowało, że nie nagrodzi w żaden sposób ekspertki, gdyż nie prowadzi żadnego programu, który by to gwarantował.
Skutki podobnego włamania przeprowadzonego przez przestępcę mogłyby okazać się tragiczne dla tysięcy zwierząt z całego świata. Wiele osób stosuje takie dozowniki na przykład w trakcie weekendowych wyjazdów lub dłuższych podróży służbowych.
Przyszłość niesie ze sobą więcej zagrożeń, niż wszystkim nam się wydaje.
Źródło: ZDNet