Комментарии 106
Китайцы, кстати, пофиксили несколько критических моментов, благодаря которым так легко обнаружить уязвимость. Сама уязвимость пока толком не закрыта, но там немало времени надо :(
P.S. Последний абзац непонятен. Я ничего не жду. Точнее помощь именно по этому вопросу не требуется, всё улажено с представителями компании, жду ответа от них.
10/10. Спасибо.
Не понятно, как быть, если их два кота и кошка, которая по внутренней иерархии ест последней. Если кормкшек будет две, оба кота будут дежурить возле них и съедать всё, что там пояаляется, если делать три, то они будут просто сидеть возле пустых и орать, а кошка всё равно будет ходить голодная, потому что коты ещё не наелись.
Да, и конечно же это всё должно работать на какой-то своей связи (блютус или PMR диапазон какой-нибудь, вот только у блютуса в прошлом или позапрошлом году лютейшую уязвимость нашли), без wi-fi, потому что заводить отдельную сетку без интернета как-то муторно. Я не дочитал, как у них сделано взаимодействие.
Очень жаль, что китайцы не отплатили каким-нибудь ништяком за такую находку уязвимости. Хоть бы миску запасную прислали что-ли
А там принципиально неустранимо снаружи или можно закрыть файрволом так, чтобы доступ был только через специально проколупанную дырочку?
Жаль.
И работа со своим сервером не поддерживается? Вроде для устройств aqara люди поднимают свой сервер на raspbery pi, чтобы не зависеть от китайских серверов.
Upd: а, вижу ваш коммент ниже. Но, может, в итоге победите локальное управление (раз уж сниффер подключили – как минимум там не https с certificate pinning или ещё что, не позволяющее подменить сервер), всем польза :-)
Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств
МУХАХА! Вот она — АБСОЛЮТНАЯ ВЛАСТЬ. Можно запрограммировать животных на рефлексы по Павлову. В мультиках про Чипа и Дейла хватает таких сюжетов, там можно набраться готовыми решениями.
А если серьёзно, то это полный трэш. Люблю гаджеты, но не считаю что в IOT будет безопасен в ближайшие лет 5-10 как минимум, поэтому не пользуюсь многими классными штуками
В принципе, именно к локальному управлению я и готовила кормушку, когда произошёл сабж.
Как я вас понимаю ) Сам также поступаю. пока лень победила только пылесос, но и то, потому что я не мог придумать, как им ущерб нанести.
;)
не мог придумать, как им ущерб нанести.
Рецепт тысячелетиями отработан кошками: ночью, когда хозяин, не включая свет, идёт на ночной дожор в туалет, затаиться у него на пути — пускай наступит, споткнётся, в идеале сломает ногу :)
P.S. github.com/aprosvetova/furrytail
Уже нашел. Спасибо.
Публичный ftp! По файлику с конфигом на каждое устройство. Или ещё глупее?
P.S. Не хотите попробовать подать доклад на DEFCON, ближайший BSides или что-то в этом роде? Я нередко там видел презентации на подобные темы, IoT в последнее время популярен, а тут еще и котики / собачки.
В остальном устройство очень хорошее. Отмеряет корм очень чётко, кормит вовремя, еда не застревает. Ну я правда не так долго пользуюсь, чуть больше недели назад приехала. Выглядит красиво, хоть и громоздко, но это простительно, потому что отсек вмещает много корма.
Такой вопрос. Кормушка позволяет зарядить на 2 недели корма и кот с голоду не помрет. А как эти 2 недели решается вопрос с туалетом?
За 2 недели 5 кг наполнителя уходит легко. Этот механизм на 2 суток максимум.
www.seeedstudio.com/Sipeed-M1-dock-suit-M1-dock-2-4-inch-LCD-OV2640-K210-Dev-Board-1st-RV64-AI-board-for-Edge-Computing.html
и на ней сделал различитель собаки и кошки. Количество корма зависело от того кто подошёл. Не такая красивая была конечно как у Xiaomi.
К сожалению, у производителя нет программы по мотивации пользователей, которые нашли уязвимость в их устройствах, поэтому награды за переданную информацию ей не предоставят.
Ну конечно! Девушка проделала работу, не поленилась сообщить, потратила время на описание. И ведь реально уязвимость критическая. А у такой компании как Xiaomi не нашлось ну просто никаких возможностей элементарно отблагодарить — нету баунти видите ли! Я знаю человека, который в аналогичной ситуации помимо спасибо ещё из своего кармана отдал, а тут ведь… ни одному топу даже не пришло в голову послать девчонке тысячу баксов, потери которой он бы даже и не заметил при их-то зарплатах. Крупный, успешный бизнес с мировым именем, да…
Штука в том, что подобный бизнес я видел изнутри и понимаю причины и менталитет подобных ситуаций. Успешность и креативность порой затмевают разумность и руководство готово месяцами упарываться на редизайн логотипа, спуская туда кучу денег, а не оценивать проблему электронной/информационной безопасности. Я когда в одном из стартапов подобные вопросы поднимал на меня как на идиота смотрели) И да, я негодую — это ж всё нас окружает! А порой кто находит косяки не встречает адекватного понимания со стороны производителя (порой даже наоборот) — пока не раздуется проблема в СМИ никто ничего делать не хочет. Естественно это печалит.
koteeq, ваш альтруистический настрой мне импонирует. Вы не прошли мимо, приложили определённые усилия, которые сделают этот мир лучше. И это радует.
Если всё же заплатят, буду очень рада, конечно. Как раз мечтаю обновить помирающий ноутбук. :)
P.S. Когда нашла уязвимость в СДЭК, которая позволяла всю базу их посылок выгрузить с полной информацией об отправителе/получателе/грузе с адресами и номерами телефонов, они сначала возмущались, что я смотрю на JSON-ы, которые приходят от их сервера мобильному приложению, мол лезу куда не надо, а потом вовсе перестали отвечать на письма, исправив дыру. Посылки, кстати, там ещё и перенаправлять можно было, что тоже критично.
ага, они бы ещё сказали, что нельзя смотреть json'ы на веб-сайте и межхостовом взаимодействии, да вообще, что вы в интернет лезете))
Великолепно :) Отличная работа — и спасибо, что правильно отрепортили (мудаки с другого конца провода не отменяют этики). Три месяца назад я имел приятный разговор с президентом одной компании — местного провайдера неких бытовых услуг, клиентом коего я недавно стал. Разговор был на тему того, что их API, видимый прямо в Dev Tools, сливал всю их базу вместе с номерами кредиток, адресами и паролями (да-с), тысяч так на несколько человек. Все было очень вежливо, предупредительно и с тонной благодарностей (которые тем не менее так и не трансформировались ни во что осязаемое). Зато починили за 3 дня, за что им плюс в карму (поверх минусов за оригинальный дизайн).
Опубликуйте, пожалуйста.
Я сам работаю сфере платёжных технологий, очень интересно от чего VISA открестилась :)
М.б. стоит сообщать антивирусным компаниям? Когда их плагины начнут массово банить эти страницы, тогда менеджеры и почешутся.
которые сейчас дома питаются из этой штуки и ждут своих хозяев из двухнедельных отпусков
Я извиняюсь, а куда животному справлять нужду во время столь длительного отъезда хозяев?
контейнер на четыре литра, в котором помещается два килограмма сухого корма
И тут мой мозг сломался. Конечно я знаю, что дело в плотности. Видимо этот контейнер предназначался еще и для воды — поэтому написали объем в литрах. А кто-то возможно заливает воду с сухим кормом одновременно, чтобы не в сухомятку)))
Литр (фр. litre, от лат. litra — мера ёмкости; русское обозначение — л; международное — L или l) — внесистемная метрическая единица измерения объёма и вместимости, равная 1 кубическому дециметру
ru.wikipedia.org/wiki/Литр
%)
Если честно, программная сторона этого устройства выглядит так, будто была реализована школьником после мастер-класса «Как мигать светодиодом на Arduino». Не в упрёк начинающим ни в коем случае, но просто достаточно было нанять разработчика за три доллара в час, а не три цента, чтобы всей этой истории не случилось. Это не сложность космическая, это подход безалаберный :( Понимаю, что порой вскрываются очень интересные и экзотические уязвимости в IoT, но тут всё совсем тривиально до ужаса.
К слову, интересную и экзотическую уязвимость я бы и не нашла. Реверс-инжиниринг практикую часто, но в целях созидания, а не пентестинга, так что авторы новостных заметок погорячились со званием «хакерша». Хотя как звучит-то...
Русская хакерша случайно взломала кормушки для животных Xiaomi Furrytail Pet Smart Feeder по всему миру