Les distributeurs connectés de nourriture pour animaux ne sont pas les premiers équipements auxquels on pense lorsqu’il s’agit de sécurité. Et pourtant, une chercheuse en sécurité russe a mis au jour des vulnérabilités dans l’API et le firmware d’un tel appareil fabriqué par Xiaomi. Le FurryTail, c’est son nom, sert à nourrir automatiquement les chiens ou chats en l’absence de leur maître. La chercheuse a acheté un de ces appareils pour son usage personnel et a découvert que l’API lui permettait de voir tous les autres FurryTail actifs à travers le monde.
Elle a dénombré 10.950 appareils auxquels elle aurait, dit-elle, pu se connecter pour modifier les horaires d’alimentation programmés sans avoir besoin d’un mot de passe. De plus, elle a découvert que les appareils utilisaient également un chipset pour la connectivité WiFi lui aussi affecté par une vulnérabilité permettant potentiellement à un assaillant de télécharger et d’installer un nouveau firmware, puis de redémarrer les distributeurs pour valider les modifications. Autant de faiblesses propices à la création d’un botnet d’objets connectés pour lancer des attaques DDoS.
Averti par la chercheuse, Xiaomi aurait répondu en promettant qu’un correctif serait créé. (Eureka Presse)
コメント