Sicherheitslücke: Forscherin kann smarte Futterstationen von Xiaomi übernehmen

Mit der smarten Tierfutterstation Furrytail von Xiaomi lassen sich nicht nur die eigenen Haustiere füttern. Rund 11.000 Geräte konnte eine Sicherheitsforscherin weltweit einsehen - und fernsteuern.

Artikel veröffentlicht am ,
Darf's ein bisschen mehr sein?
Darf's ein bisschen mehr sein? (Bild: Xiaomi)

Mit der smarten Tierfutterstation Furrytail von Xiaomi können Haustiere zu bestimmten Zeiten automatisch gefüttert werden, beispielsweise wenn der Tierhalter nicht zu Hause ist. Die Geräte sind allerdings schlecht gesichert. Durch Zufall stellte die russische Sicherheitsforscherin Anna Prosvetova fest, dass sie auf über 10.000 Furrytail-Geräte zugreifen konnte. Neben den Futterrationen hätte die Sicherheitsforscherin auch die Firmware der Geräte ändern können, schreibt das Onlinemagazin Zdnet. Die Futterstation Furrytail stammt zwar von dem gleichnamigen Hersteller, wird jedoch unter der Marke Xiaomi verkauft. Zuerst wurde darüber in dem russischen Blog Habr berichtet.

Die rund 80 US-Dollar teure Futterstation Furrytail eignet sich für Hunde und Katzen. Per App lassen sich Futtermenge und Uhrzeiten einrichten. Über die API der Geräte konnte Prosvetova 10.950 aktive Furrytails weltweit sehen. Sie hätte die Haustiere der App-Besitzer auf Knopfdruck füttern können oder die Futterrationen ändern können, erklärte die Sicherheitsforscherin. Ein Passwort hätte sie dafür nicht benötigt. Zudem wäre es möglich, eine modifizierte Firmware auf die Geräte aufzuspielen und so dauerhaft zu übernehmen. Diese können dann beispielsweise für DDoS-Angriffe missbraucht werden.

Die Sicherheitsforscherin wollte zunächst keine weiteren Details zu den Sicherheitslücken veröffentlichen, um dem Hersteller die Möglichkeit zu geben, sie zu schließen. Gemeldet habe sie die Lücken vor rund einer Woche. Laut einer von Prosvetova veröffentlichten E-Mail, hat Furrytail ein Update angekündigt. Einen Bug Bounty erhalte die Sicherheitsforscherin jedoch nicht, heißt es in der E-Mail. Bisher habe der Hersteller kein entsprechendes Programm eingerichtet.

Nachtrag vom 29. Oktober 2019, 14:30 Uhr

Im Artikel wurde ursprünglich Xiaomi als Hersteller des Furrytail genannt, die Futterstation wird zwar unter der Marke Xiaomi verkauft, hergestellt wird das Gerät jedoch von Furrytail. Auf Nachfrage von Golem.de erklärte Xiaomi: "Die smarte Tierfutterstation Furrytail gehört nicht zu Xiaomis Produktplatte, sondern stammt von einem Dritthersteller". Die Sicherheitsforscherin habe sich zudem nicht an Xiaomi, sondern an den Furrytail-Hersteller gewandt. Xiaomi betreibe bereits seit 2013 ein Bug-Bounty-Programm.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Xiaomi-Hack
Go Scooter, stop Scooter
artikel-bild
Nest
Wenn das Smart Home zum Horrorhaus wird
artikel-bild
Mi 9 Lite
Xiaomi bringt Smartphone mit Dreifachkamera für 300 Euro
Meistgelesen
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Parkvision
Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
artikel-bild
LTT
Linus Tech Tips von Krypto-Scammern gehackt
Kommentarübersicht
Re: Einen Bounty
interlingueX 29. Okt 2019

Fehlerprämie... aber nachdem Bug hier nix mit Schiffen zu tun...

Re: Leicht OT: Nur Trockenfutter?
interlingueX 29. Okt 2019

Ah so, ich dachte, bei Bonaverde kommen dann oben die rohen Hühnerfilets rein (oder was...

Re: Dumme Entwicklung
Geistesgegenwart 29. Okt 2019

Die Annahme dass das Telefonnetz in irgendeiner Weise sicherer sei als das Internet, ist...

Die Rache des Nachbarn
Pierrick 28. Okt 2019

für den vollge... Vorgarten: Wenn Frauchen und Herrchen abwesend sind, die Ration auf das...

Aktuell auf der Startseite von Golem.de
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen

Sam Zeloof gründet ein Start-up und sammelt Millionen ein. Die Halbleiterfertigung soll einfacher werden, aber wie? Wir haben nachgeforscht.
Eine Analyse von Johannes Hiltscher

Mysteriöses Start-up: Atomic Semi will Chips einfacher und günstiger herstellen
Artikel
  1. Bard: Googles KI klaut Passagen von Webseiten
    Bard
    Googles KI klaut Passagen von Webseiten

    Google Bard hat Ergebnisse und Textstellen aus einem Testbericht einfach kopiert. Eine Quelle gab die KI nur auf Nachfrage an.

  2. Reddit: Stundenlanger Ausfall, weil niemand mehr den Code kennt
    Reddit
    Stundenlanger Ausfall, weil niemand mehr den Code kennt

    Die Analyse eines schwerwiegenden Ausfalls bei Reddit zeigt, wie kritisch institutionelles Wissen sein kann.

  3. Nasa: Dart-Mission zeigt, dass Dimorphos staubtrocken ist
    Nasa
    Dart-Mission zeigt, dass Dimorphos staubtrocken ist

    Die Nasa-Raumsonde Dart hat nach einem Einschlag die Umlaufbahn des Asteroiden Dimorphos verändert. Forschende zeigen nun, dass der Asteroid kein Wasser enthält.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Powercolor RX 7900 XTX 1.099€ • Crucial SSD 1TB/2TB (PS5) bis -48% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /