Rusya’nın Saint Petersburg şehrinde yaşayan güvenlik araştırmacısı Anna Prosvetova, özel bir Telegram kanalında Xiaomi’nin FurryTail isimli evcil hayvan beslemeye yarayan cihazında güvenlik açıkları bulduğunu açıkladı. Prosvetova, güvenlik açığının cihazda çalışan bir API ve donanım yazılımı kaynaklı olduğunu açıkladı.
Xiaomi’nin FurryTail cihazları, günün belli saatlerinde kullanıcının belirlediği miktarda mamayı hayvana sunan cihazlardır. Cihazın ayarları, Xiaomi’nin cihaz için geliştirdiği mobil uygulama ile beraber yapılandırılabiliyor. Xiaomi, FurryTail’i özellikle kedi ve köpek maması için üretti. Xiaomi’nin bu cihazı sayesinde uzun bir süre evde olmayacak evcil hayvan sahipleri, minik dostlarını evde yalnız bırakabiliyorlar.
Güvenlik araştırmacısı Anna Prosvetova, AliExpress’ten 80 dolara satın aldığı FurryTail’i incelerken cihazın yazılımında bulunan API’ın dünyanın her yerindeki aktif olan FurryTail cihazları görmeye izin verdiğini fark etti. Araştırmacı, şifreye ihtiyaç duymadan toplamda 10.950 cihaza ulaşabileceğini fark etti.
Anna Prosvetova, aynı zamanda cihazın WiFi bağlantısı için ESP8266 yonga setini kullandığını buldu. Bu yonga setindeki güvenlik açığının bir saldırganın yeni yazılım indirip yüklemesine izin vereceğini ve ardından değişikliklerin uygulanması için besleyicileri yeniden başlatacağını açıkladı.
Rus güvenlik araştırmacısı, güvenlik açığını geçtiğimiz hafta e-posta ile Xiaomi’ye bildirdi. Anna Prosvetova, Telegram’da yayınlandığı bir görselde Xiaomi’nin cevabını da yayınladı. Xiaomi, araştırmacıya verdiği cevapta, cihazdaki hatayı düzelteceklerini söyledi. Ancak Xiaomi, güvenlik açığı hakkında ayrıntılı bir bilgi talep etmedi.
Xiaomi, hayvan besleme cihazlarındaki hatayı çözüp çözmediği ile ilgili bir açıklama yapmadı. Anna Prosvetova da, bulduğu hataların detaylarını açıklamaktan kaçındı. Xiaomi temsilcisi, güvenlik araştırmacısının herhangi bir ödül kazanmadığını belirtti. Xiaomi, çoğu büyük şirketin yaptığı gibi güvenlik açığı ödül programı uygulamıyor.
