Хотели покормить котика, а пустили в дом взломщика – будни владельцев умных кормушек Petlibro
NewsMakerКогда в IoT ломается авторизация, под угрозой оказываются не только данные, но и благополучие питомца.
В популярной экосистеме «умных» кормушек Petlibro обнаружили набор уязвимостей, которые в худшем случае позволяли злоумышленнику войти в чужой аккаунт, получить доступ к данным о питомце и управлять привязанными устройствами — вплоть до изменения расписания кормления и работы камеры. Исследователь, опубликовавший разбор , утверждает, что часть проблем компания закрыла быстро, но ключевую дыру в механизме входа через сторонний аккаунт оставляла активной больше двух месяцев «ради совместимости» — и отключила лишь после выхода публикации.
По словам автора, расследование началось с анализа мобильного приложения Petlibro, которым пользуются владельцы «умных» кормушек, поилок и других IoT-гаджетов для животных. Такие устройства часто ставят дома и используют удалённо — например, чтобы кормить кота или собаку в поездке. Именно поэтому любые ошибки в авторизации и проверках доступа здесь особенно чувствительны: речь идёт не просто о данных, а о реальном контроле над устройством и бытом человека.
Главной находкой исследователь называет обход аутентификации в одном из «социальных» сценариев входа. Суть проблемы, по его описанию, сводилась к тому, что сервер не проверял корректность токена OAuth , а доверял данным, которые присылал клиент. В результате, если знать публичные идентификаторы, можно было получить рабочую сессию для чужого профиля. Компания, как утверждается, добавила новый более безопасный механизм, но при этом оставила старый, уязвимый маршрут для «legacy-совместимости», ожидая, пока большинство пользователей обновит приложение.
Дальше цепочка, по словам автора, разворачивалась в сторону приватности и контроля над «железом». В API , как он описывает, встречались методы, которые возвращали данные о питомце по идентификатору без проверки, что запрос делает владелец. Это позволяло получать профиль животного — имя, дату рождения, вес, параметры активности и аппетита, фотографию и привязку к владельцу. А по этим же данным, утверждает исследователь, можно было добраться до сведений об устройствах (включая технические идентификаторы) и затем выполнять действия, доступные владельцу: менять настройки, запускать кормление вручную, управлять расписаниями и, в случае моделей с камерой, получать доступ к видеопотоку.
В популярной экосистеме «умных» кормушек Petlibro обнаружили набор уязвимостей, которые в худшем случае позволяли злоумышленнику войти в чужой аккаунт, получить доступ к данным о питомце и управлять привязанными устройствами — вплоть до изменения расписания кормления и работы камеры. Исследователь, опубликовавший разбор , утверждает, что часть проблем компания закрыла быстро, но ключевую дыру в механизме входа через сторонний аккаунт оставляла активной больше двух месяцев «ради совместимости» — и отключила лишь после выхода публикации.
По словам автора, расследование началось с анализа мобильного приложения Petlibro, которым пользуются владельцы «умных» кормушек, поилок и других IoT-гаджетов для животных. Такие устройства часто ставят дома и используют удалённо — например, чтобы кормить кота или собаку в поездке. Именно поэтому любые ошибки в авторизации и проверках доступа здесь особенно чувствительны: речь идёт не просто о данных, а о реальном контроле над устройством и бытом человека.
Главной находкой исследователь называет обход аутентификации в одном из «социальных» сценариев входа. Суть проблемы, по его описанию, сводилась к тому, что сервер не проверял корректность токена OAuth , а доверял данным, которые присылал клиент. В результате, если знать публичные идентификаторы, можно было получить рабочую сессию для чужого профиля. Компания, как утверждается, добавила новый более безопасный механизм, но при этом оставила старый, уязвимый маршрут для «legacy-совместимости», ожидая, пока большинство пользователей обновит приложение.
Дальше цепочка, по словам автора, разворачивалась в сторону приватности и контроля над «железом». В API , как он описывает, встречались методы, которые возвращали данные о питомце по идентификатору без проверки, что запрос делает владелец. Это позволяло получать профиль животного — имя, дату рождения, вес, параметры активности и аппетита, фотографию и привязку к владельцу. А по этим же данным, утверждает исследователь, можно было добраться до сведений об устройствах (включая технические идентификаторы) и затем выполнять действия, доступные владельцу: менять настройки, запускать кормление вручную, управлять расписаниями и, в случае моделей с камерой, получать доступ к видеопотоку.