Они заплатили вознаграждение, перестали со мной общаться, сделали несколько костылей, значительно перекрывающих путь к уязвимости, но сама уязвимость ещё на месте :( Пока жду, думаю чуть позже снова уточнить у них статус.
К слову, интересную и экзотическую уязвимость я бы и не нашла. Реверс-инжиниринг практикую часто, но в целях созидания, а не пентестинга, так что авторы новостных заметок погорячились со званием «хакерша». Хотя как звучит-то...
Если честно, программная сторона этого устройства выглядит так, будто была реализована школьником после мастер-класса «Как мигать светодиодом на Arduino». Не в упрёк начинающим ни в коем случае, но просто достаточно было нанять разработчика за три доллара в час, а не три цента, чтобы всей этой истории не случилось. Это не сложность космическая, это подход безалаберный :( Понимаю, что порой вскрываются очень интересные и экзотические уязвимости в IoT, но тут всё совсем тривиально до ужаса.
Я по поводу баунти и не расстраиваюсь, изначально не рассчитывала. Просто людям обычно интересны денежные вопросы в таких историях, вот я и опубликовала, что мне сказали. Почему-то журналисты решили, что это важный момент. В обоих письмах китайцам я несколько раз сама написала, что для меня первично исправление уязвимости, потому что мне нравится девайс и я желаю добра их клиентам, и что обязуюсь не эксплуатировать уязвимость, независимо от их желания меня награждать.
Если всё же заплатят, буду очень рада, конечно. Как раз мечтаю обновить помирающий ноутбук. :)
P.S. Когда нашла уязвимость в СДЭК, которая позволяла всю базу их посылок выгрузить с полной информацией об отправителе/получателе/грузе с адресами и номерами телефонов, они сначала возмущались, что я смотрю на JSON-ы, которые приходят от их сервера мобильному приложению, мол лезу куда не надо, а потом вовсе перестали отвечать на письма, исправив дыру. Посылки, кстати, там ещё и перенаправлять можно было, что тоже критично.
Александр, очень приятно, но всё же не нервничайте пока. Во-первых, это не Xiaomi, а Furrytail, малоизвестная китайская компания, которая до этого только когтеточки да домики кошачьи выпускала. Наверное, они просто не понимают, как в таких ситуациях надо поступать. Такой ответ мне дали на предварительное письмо, где я сообщила о факте наличия уязвимости. Мне ещё не ответили на финальное письмо, где я расписала всё подробно и дала рекомендации по исправлению, возможно, там вердикт будет уже другой. Хотя рекомендации они выполнять уже потихоньку начали.
Пока могу сказать, что при текущих условиях (не знаю, что они там сделают после фикса) почти нереально подменить сервер на локальный или иной удалённый. А вот свою прошивку с нуля написать — клёвый вариант.
Только помимо уязвимости опустим и неудобную архитектуру удалённого управления (пакет обязательно должен пройти через Китай и обратно). И тот факт, что для активации нужно обязательно залогиниться через WeChat, который без боли зарегистрировать в РФ невозможно.
В остальном устройство очень хорошее. Отмеряет корм очень чётко, кормит вовремя, еда не застревает. Ну я правда не так долго пользуюсь, чуть больше недели назад приехала. Выглядит красиво, хоть и громоздко, но это простительно, потому что отсек вмещает много корма.
Да, это был первый этап моего знакомства с кормушкой. Вторым этапом я хотела вообще избавиться от необходимости общаться с api.furrytail-pet.com и наткнулась на дыру.
Паша, ты говорил, что бот нужен для генерации добрых поздравительных открыток. Что происходит?!
Даже кодить не придётся.
Особенно, если доберётесь до Home Assistant (рекомендую добраться).
Они заплатили вознаграждение, перестали со мной общаться, сделали несколько костылей, значительно перекрывающих путь к уязвимости, но сама уязвимость ещё на месте :( Пока жду, думаю чуть позже снова уточнить у них статус.
К слову, интересную и экзотическую уязвимость я бы и не нашла. Реверс-инжиниринг практикую часто, но в целях созидания, а не пентестинга, так что авторы новостных заметок погорячились со званием «хакерша». Хотя как звучит-то...
Если честно, программная сторона этого устройства выглядит так, будто была реализована школьником после мастер-класса «Как мигать светодиодом на Arduino». Не в упрёк начинающим ни в коем случае, но просто достаточно было нанять разработчика за три доллара в час, а не три цента, чтобы всей этой истории не случилось. Это не сложность космическая, это подход безалаберный :( Понимаю, что порой вскрываются очень интересные и экзотические уязвимости в IoT, но тут всё совсем тривиально до ужаса.
Я в соседних ветках комментариев пару раз объясняла, почему специфика работы этой кормушки не позволит так сделать. Иначе всё было бы проще.
Если всё же заплатят, буду очень рада, конечно. Как раз мечтаю обновить помирающий ноутбук. :)
P.S. Когда нашла уязвимость в СДЭК, которая позволяла всю базу их посылок выгрузить с полной информацией об отправителе/получателе/грузе с адресами и номерами телефонов, они сначала возмущались, что я смотрю на JSON-ы, которые приходят от их сервера мобильному приложению, мол лезу куда не надо, а потом вовсе перестали отвечать на письма, исправив дыру. Посылки, кстати, там ещё и перенаправлять можно было, что тоже критично.
10/10. Спасибо.
В остальном устройство очень хорошее. Отмеряет корм очень чётко, кормит вовремя, еда не застревает. Ну я правда не так долго пользуюсь, чуть больше недели назад приехала. Выглядит красиво, хоть и громоздко, но это простительно, потому что отсек вмещает много корма.