¿Recuerdas el comedero de animales de Xiaomi? Lo han hackeado para hacer que tu mascota muera

El pasado mes de mayo, Xiaomi puso a la venta en China un comedero inteligente para animales, el cual podía programarse para entregar a la mascota la comida a distancia y poder salir de casa con la tranquilidad de que nuestro perro o gato tendría comida suficiente. Sin embargo, lo han hackeado, de forma que un hacker puede provocar la muerte de nuestra mascota.

Furrytail Pet Smart Feeder: 80 euros que pueden acabar con tu mascota

El Furrytail Pet Smart Feeder cuesta apenas 329 yuanes, unos 42 euros al cambio, aunque se vende por 78 euros por parte de resellers, y cuenta con una app que permite establecer horarios en los que la máquina da comida para los animales, pudiendo elegir la hora concreta y la cantidad de comida que ofrece el dispensador. En total puede almacenar hasta 2 kg de comida, pudiendo dar comida durante una semana a un perro grande. Además, nos avisa cuando queda poca comida para que lo rellenemos a través de la aplicación o a través de un LED.

Sin embargo, todas estas funcionalidades inteligentes no estaban protegidas debidamente, tal y como ha descubierto la hacker Anna Prosvetova. Esta investigadora estaba analizando su API y accidentalmente consiguió acceso completo a toda la base de datos de dispositivos que había registrados, pudiendo ver datos de las redes WiFi de quienes lo tenían configurado. De hecho, la aplicación no cifraba los datos, de manera que no sólo se podía modificar el comportamiento del dispositivo para dejar sin comida a las mascostas al eliminar los horarios, sino que además quedaban al descubierto datos personales de los compradores.

El fallo todavía no ha sido subsanado

La propia Prosvetova no sabía siquiera si comunicarse el fallo a Xiaomi porque no tienen ningún mecanismo para reportar este tipo de vulnerabilidades, aunque finalmente ha escrito un email a la compañía detallándoles el fallo y posibles soluciones al mismo. El problema es que el producto no es de la propia Xiaomi como tal, sino que ellos se limitan a comercializarlo en China. Inicialmente vio 800 dispositivos conectados, pero luego llegó a haber 6.500 en línea, y afirma que hay hasta 10.950 registrados.

Otro de los fallos de este sistema es que el chip ESP8266 que usa para recibir la señal WiFi permite el envío remoto de un firmware modificado, el cual pasa a descargar e instalar en el dispositivo. Por ello, un hacker puede modificar el firmware y hacer lo que le plazca con el dispositivo, como convertirlo en un miembro más de una botnet para hacer ataques DDoS. Otra opción puede ser lanzar un nuevo firmware que desactive los dispositivos y directamente los rompa, siendo la única solución soldar un nuevo controlador y actualizar el firmware. Por ello, de momento, la vulnerabilidad no tiene solución

Fuente: adslzone