Egy orosz biztonsági kutató állítólag teljesen véletlenül fedezte fel, hogyan lehet meghekkelni és adott esetben irányítása alá vonni a Xiaomi által gyártott egyik okos otthoni eszköz bámelyik példányát. A szentpétervári Anna Proszvetova (akire egyébként szakmai körökben is elismert hekkerként hivatkoznak) egy olyan sebezhetőséget azonosított a FurryTail nevű céggel közösen kiadott állatetetők backend API-jában és firmware-ében, amely mások mellett azt is lehetővé teszi, hogy azonosítani tudja a világon az összes, éppen bekapcsolt állapotban lévő készüléket, és ezek beállításait bármilyen jelszó ismerete nélkül módosíthassa.

Az okos állatetetőnek is nevezett eszközök tulajdonképpen egy tartályból és egy adagolóból állnak, kényelmi szolgáltatásként pedig egy mobil alkalmazásból konfigurálható, hogy milyen rendszerességgel milyen mennyiségű tápot szórjanak ki az otthon hagyott háziállatoknak. A Xiaomi fenti, eredetileg közösségi finanszírozásban megvalósított, akciósan akár 50 dollárért is beszerezhető termékei kifejezetten a kutyáknak vagy macskáknak szánt élelem kezelésére valók, és jellemzően azokban az esetekben van értelme használni őket, amikor a tulajdonosok hosszabb utazásra indulnak az állataik nélkül.

Proszvetova a ZDNet beszámolója alapján összesen majdnem 11 ezer ilyen készüléket azonosított világszerte. Felfedezte azt is, hogy a FurryTail etetők a kínai Espressif Systems által szállított, ESP8266 jelzésű wifi-modulokat használják a hálózathoz való csatlakozásra, amelyeknek egy ismert sérülékenységét kihasználva a támadók új firmware-t tölthetnek le és telepíthetnek az eszközökre, majd újra is indíthatják azokat, hogy érvényesítsék a változtatásokat. Innentől pedig már többről van szó, mint egy rakás éhen maradt macskáról.

Szaporodó és elhanyagolt kockázatok

A szakember szerint a sebezhetőség ideális lehet például azoknak a támadóknak, akik egyszerűen azért akarják feltörni az adagolókat, hogy egy IoT DDoS botnet irányítása alá vonják azokat – ráadásul a műveletek ebben az esetben teljesen automatizálhatók, és éppen ezért tömeges léptékben is kivitelezhetők. Proszvetova egyébként a hibák leírását továbbította a Xiaomi részére, és a cég válaszát is közzétette, amelyben ígéretet tesznek a probléma orvoslására.

A sebezhetőségek pontos technikai részleteit a kutató egyelőre nem hozta nyilvánosságra, hogy időt adjon a gyártónak a javítások elkészítésére és a frissítések levezénylésére. Érdekesség, hogy a Xiaomi képviselője szerint ezért nem jár jutalom, mivel a társaság – ellentétben a legtöbb nemzetközi technológiai vállalattal – nem futtat semmilyen hibavadász programot (vulnerability rewards program – VRP) a hasonló biztonsági hibák felfedezések és megfelelő módon való jelentésének anyagi ösztönzésére.

Ahogy azt a macskaetetős ügyről beszámoló hírforrások megjegyzik, mindez egy újabb apró bizonyíték rá, hogy az okos otthonokba szánt gépek és kütyük nem csak gombamód szaporodnak, de az internetre csatlakozó eszközök általános biztonsági dizájnja is csapnivaló. Ráadásul nem csak a noname gyártók esetében merülnek fel problémák: bár a Xiaomi sem számít kis márkának, sorozatban jelennek meg a hírek a legmagasabb konzumer piaci standardokat képviselő márkák fiaskóiról is. Ilyen volt például a nyár végén, amikor a Cisco (Talos) kutatói összesen nyolc komoly sérülékenységet azonosítottak a Google Nest Cam IQ felső kategóriás biztonsági kamerarendszerében.