La configuración de 10.950 comederos inteligentes de mascotas estuvo a merced de una hacker rusa

El conocido como Xiaomi FurryTail es un alimentador automático de mascotas. Un comedor conectado a internet que permite configurar horarios de alimentación para nuestro gato o perro. Cuando llega una hora seleccionada, el dispositivo sirve automáticamente una ración de pienso... a no ser que haya sido hackeado.

Esta situación podría haberse dado, según los hallazgos de la investigadora de seguridad rusa Anna Prosvetova. Tal y como adelanta ZDNet, la especialista hizo público en su canal privado de Telegram que había encontrado, por casualidad, una forma de hackear y tomar el control de nada menos que 10.950 alimentadores automáticos de mascotas ubicados en todo el mundo.

Errores en la API de los Xiaomi FurryTail

Prosvetova dice que encontró vulnerabilidades en la API de backend y el firmware de los comederos inteligentes de mascotas de Xiaomi después de haber comprado un producto. Gracias a él, según explica, se dio cuenta que podía ver todos los dispositivos FurryTail activos a lo largo y ancho del planeta.

Si hubiese querido, asegura, podría haber cambiado los horarios de alimentación configurados en los 10.950 comederos Xiaomi FurryTail detectados sin necesidad de introducir ninguna contraseña. Aunque no lo hizo.

La investigadora de seguridad comunicó los problemas de seguridad a Xiaomi que, según su relato, admitió y prometió solucionar

Además, la investigadora de seguridad rusa explicó que estos dispositivos conectados utilizan un chipset ESP8266 para la conectividad wifi y que gracias a una vulnerabilidad que poseen un atacante podría haber descargado e instalado un nuevo firmware en los comederos, siendo capaz de reiniciarlos para asegurar que los cambios se mantuvieran.

Los ataques contra estos alimentadores de mascotas, explica, podrían haberse producido a gran escala convirtiéndolos en una gran botnet.

Anna Prosvetova dice que comunicó los problemas de seguridad a los responsables la semana pasada y le contestaron, según un correo publicado por ella misma, reconociendo los errores y prometiendo una solución.

En Xiaomi, según explican a Genbeta, no han recibido ninguna comunicación y la razón es que este es uno de tantos productos no dependientes directamente de la compañía china, sino de un tercero que usa la plataforma de comercio electrónico de la compañía, Youpin. Desde Xiaomi aseguran que valoran la seguridad en internet y tienen en marcha un programa de recompensas por vulnerabilidades desde 2013.

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta