Des milliers de distributeurs connectés de nourriture pour animaux de Xiaomi facilement piratables

Les distributeurs connectés de nourriture pour animaux ne sont pas les premiers équipements auxquels on pense lorsqu’il s’agit de sécurité. Et pourtant, une chercheuse en sécurité russe a mis au jour des vulnérabilités dans l’API et le firmware d’un tel appareil fabriqué par Xiaomi. Le FurryTail, c’est son nom, sert à nourrir automatiquement les chiens ou chats en l’absence de leur maître. La chercheuse a acheté un de ces appareils pour son usage personnel et a découvert que l’API lui permettait de voir tous les autres FurryTail actifs à travers le monde.

Elle a dénombré 10.950 appareils auxquels elle aurait, dit-elle, pu se connecter pour modifier les horaires d’alimentation programmés sans avoir besoin d’un mot de passe. De plus, elle a découvert que les appareils utilisaient également un chipset pour la connectivité WiFi lui aussi affecté par une vulnérabilité permettant potentiellement à un assaillant de télécharger et d’installer un nouveau firmware, puis de redémarrer les distributeurs pour valider les modifications. Autant de faiblesses propices à la création d’un botnet d’objets connectés pour lancer des attaques DDoS.

Averti par la chercheuse, Xiaomi aurait répondu en promettant qu’un correctif serait créé. (Eureka Presse)