Az IoT és az okos otthonok világában az intetnetre csatlakozó eszközök mindegyike támadási pontot jelent. Itt a példa, hogy ez alól még az állatetetők sem kivételek.

Egy orosz biztonsági kutató állítólag teljesen véletlenül fedezte fel, hogyan lehet meghekkelni és adott esetben irányítása alá vonni a Xiaomi által gyártott egyik okos otthoni eszköz bámelyik példányát. A szentpétervári Anna Proszvetova (akire egyébként szakmai körökben is elismert hekkerként hivatkoznak) egy olyan sebezhetőséget azonosított a FurryTail nevű céggel közösen kiadott állatetetők backend API-jában és firmware-ében, amely mások mellett azt is lehetővé teszi, hogy azonosítani tudja a világon az összes, éppen bekapcsolt állapotban lévő készüléket, és ezek beállításait bármilyen jelszó ismerete nélkül módosíthassa.

Az okos állatetetőnek is nevezett eszközök tulajdonképpen egy tartályból és egy adagolóból állnak, kényelmi szolgáltatásként pedig egy mobil alkalmazásból konfigurálható, hogy milyen rendszerességgel milyen mennyiségű tápot szórjanak ki az otthon hagyott háziállatoknak. A Xiaomi fenti, eredetileg közösségi finanszírozásban megvalósított, akciósan akár 50 dollárért is beszerezhető termékei kifejezetten a kutyáknak vagy macskáknak szánt élelem kezelésére valók, és jellemzően azokban az esetekben van értelme használni őket, amikor a tulajdonosok hosszabb utazásra indulnak az állataik nélkül.

Proszvetova a ZDNet beszámolója alapján összesen majdnem 11 ezer ilyen készüléket azonosított világszerte. Felfedezte azt is, hogy a FurryTail etetők a kínai Espressif Systems által szállított, ESP8266 jelzésű wifi-modulokat használják a hálózathoz való csatlakozásra, amelyeknek egy ismert sérülékenységét kihasználva a támadók új firmware-t tölthetnek le és telepíthetnek az eszközökre, majd újra is indíthatják azokat, hogy érvényesítsék a változtatásokat. Innentől pedig már többről van szó, mint egy rakás éhen maradt macskáról.

Szaporodó és elhanyagolt kockázatok

A szakember szerint a sebezhetőség ideális lehet például azoknak a támadóknak, akik egyszerűen azért akarják feltörni az adagolókat, hogy egy IoT DDoS botnet irányítása alá vonják azokat – ráadásul a műveletek ebben az esetben teljesen automatizálhatók, és éppen ezért tömeges léptékben is kivitelezhetők. Proszvetova egyébként a hibák leírását továbbította a Xiaomi részére, és a cég válaszát is közzétette, amelyben ígéretet tesznek a probléma orvoslására.

A sebezhetőségek pontos technikai részleteit a kutató egyelőre nem hozta nyilvánosságra, hogy időt adjon a gyártónak a javítások elkészítésére és a frissítések levezénylésére. Érdekesség, hogy a Xiaomi képviselője szerint ezért nem jár jutalom, mivel a társaság – ellentétben a legtöbb nemzetközi technológiai vállalattal – nem futtat semmilyen hibavadász programot (vulnerability rewards program – VRP) a hasonló biztonsági hibák felfedezések és megfelelő módon való jelentésének anyagi ösztönzésére.

Ahogy azt a macskaetetős ügyről beszámoló hírforrások megjegyzik, mindez egy újabb apró bizonyíték rá, hogy az okos otthonokba szánt gépek és kütyük nem csak gombamód szaporodnak, de az internetre csatlakozó eszközök általános biztonsági dizájnja is csapnivaló. Ráadásul nem csak a noname gyártók esetében merülnek fel problémák: bár a Xiaomi sem számít kis márkának, sorozatban jelennek meg a hírek a legmagasabb konzumer piaci standardokat képviselő márkák fiaskóiról is. Ilyen volt például a nyár végén, amikor a Cisco (Talos) kutatói összesen nyolc komoly sérülékenységet azonosítottak a Google Nest Cam IQ felső kategóriás biztonsági kamerarendszerében.

Biztonság

Szabadon kipróbálható a Google legfejlettebb videógeneráló modellje

A YouTube videók millióin pallérozott Veo 3 képességeit a Google Cloud részeként mostantól bárki letesztelheti.
 
Hirdetés

Így újult meg Magyarország leggyorsabb mobilhálózata

Közel 100 milliárd forintos beruházással, a rádiós és maghálózat teljes modernizációjával zárult le a Yettel történetének egyik legnagyobb műszaki fejlesztése.

A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.

a melléklet támogatója a One Solutions

Hirdetés

Cyber Threat Intelligence: üzleti előny a sötét adatokból

Egyetlen kompromittált jelszó. Egy belépési pont, amit már nem használnak. Egy korábbi alkalmazott adatszivárgása. Ezek ma már nem csupán technikai hibák, hanem valós üzleti fenyegetések, amelyek a digitális alvilág piacán előbb bukkannak fel, mint ahogy a cég egyáltalán észrevenné.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.