安全研究员发现能访问和控制所有小米宠物喂食器

一名俄罗斯安全研究员发现利用后端 API 和固件漏洞可以访问和控制世界各地的所有小米 FurryTail 智能宠物喂食器。这种宠物喂食器可通过移动应用配置在特定时间释出少量食物，它可用于在主人离开家较长时间期间喂食猫或狗。安全研究员 Anna Prosvetova 在购买了一台喂食器之后发现，其 API 允许她访问世界各地的其它喂食器，她共发现了 10,950 台同品牌喂食器，她声称不需要密码就能修改喂食时间表。她声称，设备使用了无线芯片组 ESP8266，芯片组的一个漏洞允许攻击者下载和安装新的固件，漏洞还允许攻击者将宠物喂食器变成物联网 DDoS 僵尸网络的一部分。小米已收到了漏洞报告，据称它承诺将释出补丁修复。