Уразливість в Xiaomi Mi Temperature & Humidity Monitor

23:50 29.12.2020

У вересні я купив пристрій та вже 30.09.2020 знайшов уразливість в Xiaomi Mi Temperature & Humidity Monitor. Це метеостанція з бездротовим доступом по Bluetooth.

Знову я купив пристрій для оцінки його безпеки, як це було з флеш-картою Transcend в 2014 році (бо до того і після того я купував собі Wi-Fi роутери, безпеку яких теж перевіряв, але більшість мережевих пристроїв я знаходив онлайн). Раніше я неодноразово писав про уразливості в Transcend Wi-Fi SD Card.

В метеостанції Xiaomi ненадійна аутентифікація. При наявності смартфону чи будь-якого пристрою з Bluetooth, стандартної програми Xiaomi для роботи зі smart пристроями та знаходячись в радіусі доступу можна під’єднатися до пристрою.

Наприклад, щоб побачити його статистику (про температуру та вологість в квартирі), а також можна буде керувати його smart функціями, як то під’єднаними до метеостанції побутовими пристроями. Щоб вони вмикалися чи вимикалися при заданих параметрах температури чи вологості. Хоча у BT менший радіус дії ніж в Wi-Fi, але все ж таки є ризик атаки. Зокрема коли метеостанція знаходиться в коридорі квартирі та нападник ходить по будинку, підносить свій смартфон до дверей квартир, щоб виявити BT пристрої, знаходить цей Xiaomi та хакає його.

Захистися можна шляхом вимкнення Bluetooth на метеостанції. Це також економить заряд батареї.


Leave a Reply

You must be logged in to post a comment.