Смарт-лампы Xiaomi Yeelight уличили в шпионаже
Приложение для настольных смарт-светильников с поддержкой Bluetooth Xiaomi Yeelight собирает различные данные, в том числе информацию о MAC-адресе, SSID, доступных беспроводных сетях и паролях, а также содержимое журнала логов, и отправляет их на серверы Xiaomi в Китае, выяснил разработчик, использующий псевдоним Peadar.
Речь идет о модели Xiaomi Yeelight XMCTD01YL. Проанализировав Android-приложение, использующееся для управления светильником, разработчик обнаружил ряд интересных моментов. В частности, приложение проводило проверку на наличие доступных сетей Wi-Fi (довольно странно, учитывая, что подключение смартфона осуществляется по Bluetooth), а также запрашивало подозрительные разрешения, не соответствующие функционалу устройства. Например, разрешение на аутентификацию аккаунтов (позволяет приложению использовать возможности диспетчера учетных записей, в том числе создавать аккаунты и устанавливать пароли), загрузку без уведомления, доступ к функциям звонков и данным геолокации, чтение и запись настроек системы, удаление процессов других приложений, а также извлечение информации о текущих или недавних задачах и запись аудио.
В процессе анализа исследователь выявил несколько сервисов – WifiDeviceScan, XMPushService, MiiLocalAPI и LogCollectionService. Первый проверяет наличие маршрутизаторов Xiaomi Mi, а три других оправляют данные, связанные с сетью Wi-Fi, координаты местоположения, содержимое журнала логов, а также информацию об устройствах Mi, включая используемый вид шифрования, на серверы Xiaomi. По словам разработчика, только данные о MAC-адресе и SSID отправляются по HTTPS, остальные – по протоколу HTTP.
В октябре нынешнего года стало известно об аппаратном сбое в «умных» колонках Google Home Mini, в результате которого устройство реагировало на случайные шумы и записывало их по несколько тысяч раз в день.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш