Een beveiligingslek in de smart kattenvoerbak van Xiaomi maakt het mogelijk om de apparaten via het internet te benaderen en bijvoorbeeld aan te passen zodat er geen voedsel meer wordt verstrekt. Ook is het mogelijk om dieren meer eten te geven dan gepland, zo ontdekte onderzoekster Anna Prosvetova.
Het gaat om de Xiaomi Furrytail pet smart feeder. Het apparaat bevat een voedselvoorraad en kan via een smartphone-app worden ingesteld om voedsel te verstrekken. Zo kan de huisdiereigenaar op afstand instellen wanneer zijn huisdier eten hoort te krijgen en hoeveel. Prosvetova laat op haar eigen Telegram-kanaal weten dat ze toegang tot de programmeerinterface (API) van de Furrytail wist te krijgen.
Op deze manier heeft ze naar eigen zeggen toegang tot alle apparaten ter wereld. De API maakt het mogelijk om de dieren eten te geven of het ze te ontnemen door aangemaakte voedselplanningen te verwijderen. Tevens is het mogelijk om malafide firmware te uploaden die de apparaten onbruikbaar maakt. Prosvetova ontdekte bijna 11.000 actieve Furrytails die via de API toegankelijk zijn.
De onderzoekster waarschuwde Xiaomi, maar heeft nog geen reactie van de fabrikant ontvangen. Details over de kwetsbaarheid heeft ze dan ook nog niet openbaar gemaakt. "Ze zullen er waarschijnlijk niets mee doen, en ik moet dan ook nadenken wat te doen, want ik wil het verhaal niet onafgemaakt laten." Volgens Prosvetova is het lastig om het probleem op korte termijn te verhelpen. De Furrytail wordt niet direct in Nederland aangeboden, maar is wel via AliExpress verkrijgbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.