Smarte Geräte können unseren Alltag erleichtern. Manche Hersteller bieten daher eine endlos scheinende Auswahl an vernetzten Dingen in ihrem Sortiment an. Mitunter hapert es aber an der Sicherheit. So etwa bei Furrytail, einer smarten Fütterstation von Xiaomi, berichtet ZDNet.

Die russische Sicherheitsforscherin Anna Proswetowa aus St. Petersburg hat ein massives Problem bei den Futterspendern für daheim gebliebene Vierbeiner entdeckt. Nach eigenen Angaben entdeckte sie zufällig, dass die Programmierschnittstelle (API), über die die Geräte per App gesteuert werden können, es ermöglichte, alle gerade weltweit mit dem Internet verbundenen Furrytails zu sehen.

Einfach als Botnet zu missbrauchen

Sie sei auf fast 11.000 Geräte gekommen. Auf diesen hätte sie aus der Ferne und ohne Passwort die Fütterungspläne ändern können. Zudem nutzten die Automaten den ESP8266-Chip für die WLAN-Anbindung, dieser wiederum weise eine Schwachstelle auf, die es Angreifern ermöglicht, manipulierte Firmware aufzuspielen.

Die Sicherheitslücken hätten die Tierfütterautomaten zu einer idealen Plattform für ein Botnet gemacht, sagt die Expertin. Der Prozess der Übernahme wäre einfach zu automatisieren gewesen. Sie hat Xiaomi vor einer Woche über das Problem informiert, der Hersteller reagierte flott mit einer Bestätigung und kündigte eine Behebung an.

Keine Belohnung

Diese lässt noch auf sich warten, weswegen Proswetowa noch keine weiteren Details zu den Lecks veröffentlicht hat. Abgesehen von Anerkennung bringt ihr ihre Entdeckung übrigens nichts. Denn – im Gegensatz zu einer Reihe anderer Hersteller – betreibt Xiaomi kein "Bug-Bounty"-Programm, im Rahmen dessen das Auffinden von Fehlern und Sicherheitslücken finanziell belohnt wird. (red, 29.10.2019)