Xiaomi FurryTail es un alimentador automático de mascotas. Un comedor inteligente conectado a internet que permite configurar horarios de alimentación para nuestro gato o perro. Cuando llega una hora seleccionada, el dispositivo sirve automáticamente una ración de pienso… a no ser que haya sido hackeado.
Esta situación podría haberse dado, según los hallazgos de la investigadora de seguridad rusa Anna Prosvetova. Tal y como adelanta ZDNet, la especialista hizo público en su canal privado de Telegram que había encontrado, por casualidad, una forma de hackear y tomar el control de nada menos que 10.950 alimentadores automáticos de mascotas de Xiaomi ubicados en todo el mundo.
Errores en la API de los Xiaomi FurryTail
Prosvetova dice que encontró vulnerabilidades en la API de backend y el firmware de los comederos inteligentes de mascotas de Xiaomi después de haber comprado un producto. Gracias a él, según explica, se dio cuenta que podía ver todos los dispositivos FurryTail activos a lo largo y ancho del planeta.
Si hubiese querido, asegura, podría haber cambiado los horarios de alimentación configurados en los 10.950 comederos Xiaomi FurryTail detectados sin necesidad de introducir ninguna contraseña. Aunque no lo hizo.
La investigadora de seguridad comunicó los problemas de seguridad a Xiaomi que, según su relato, admitió y prometió solucionar
Además, la investigadora de seguridad rusa explicó que estos dispositivos conectados utilizan un chipset ESP8266 para la conectividad wifi y que gracias a una vulnerabilidad que poseen un atacante podría haber descargado e instalado un nuevo firmware en los comederos, siendo capaz de reiniciarlos para asegurar que los cambios se mantuvieran.
Los ataques contra estos alimentadores de mascotas, explica, podrían haberse producido a gran escala convirtiéndolos en una gran botnet.
Anna Prosvetova comunicó los problemas de seguridad a Xiaomi la semana pasada y la compañía le contestó, según un correo publicado por ella misma, reconociendo los errores y prometiendo una solución. Desde Genbeta nos hemos puesto en contacto con Xiaomi para tratar de saber si los parches ya se han implementado o si se sigue trabajando en ellos.
