Разыгрываем три Flipper Zero и три Raspberry Pi 5
Image

ФЛИППЕР ИЛИ МАЛИНКА?

Подпишись на каналы и выиграй один из шести топовых девайсов для своих ИТ-проектов в новом году!

Ваш кот под колпаком. Как «умная» кормушка может превратиться в шпионский гаджет

Petlibro кормушки взлом аккаунт IoT. OAuth
Ваш кот под колпаком. Как «умная» кормушка может превратиться в шпионский гаджет
Petlibro кормушки взлом аккаунт IoT. OAuth

Когда в IoT ломается авторизация, под угрозой оказываются не только данные, но и благополучие питомца.

image

В популярной экосистеме «умных» кормушек Petlibro обнаружили набор уязвимостей, которые в худшем случае позволяли злоумышленнику войти в чужой аккаунт, получить доступ к данным о питомце и управлять привязанными устройствами — вплоть до изменения расписания кормления и работы камеры. Исследователь, опубликовавший разбор, утверждает, что часть проблем компания закрыла быстро, но ключевую дыру в механизме входа через сторонний аккаунт оставляла активной больше двух месяцев «ради совместимости» — и отключила лишь после выхода публикации.

По словам автора, расследование началось с анализа мобильного приложения Petlibro, которым пользуются владельцы «умных» кормушек, поилок и других IoT-гаджетов для животных. Такие устройства часто ставят дома и используют удалённо — например, чтобы кормить кота или собаку в поездке. Именно поэтому любые ошибки в авторизации и проверках доступа здесь особенно чувствительны: речь идёт не просто о данных, а о реальном контроле над устройством и бытом человека.

Главной находкой исследователь называет обход аутентификации в одном из «социальных» сценариев входа. Суть проблемы, по его описанию, сводилась к тому, что сервер не проверял корректность токена OAuth, а доверял данным, которые присылал клиент. В результате, если знать публичные идентификаторы, можно было получить рабочую сессию для чужого профиля. Компания, как утверждается, добавила новый более безопасный механизм, но при этом оставила старый, уязвимый маршрут для «legacy-совместимости», ожидая, пока большинство пользователей обновит приложение.

Дальше цепочка, по словам автора, разворачивалась в сторону приватности и контроля над «железом». В API, как он описывает, встречались методы, которые возвращали данные о питомце по идентификатору без проверки, что запрос делает владелец. Это позволяло получать профиль животного — имя, дату рождения, вес, параметры активности и аппетита, фотографию и привязку к владельцу. А по этим же данным, утверждает исследователь, можно было добраться до сведений об устройствах (включая технические идентификаторы) и затем выполнять действия, доступные владельцу: менять настройки, запускать кормление вручную, управлять расписаниями и, в случае моделей с камерой, получать доступ к видеопотоку.

Отдельно автор отмечает риск утечки личного контента: некоторые устройства позволяют записывать голосовые сообщения, которые воспроизводятся питомцу во время кормления. По его словам, идентификаторы таких записей были предсказуемыми, а привязка записи к устройству — недостаточно защищённой, из-за чего можно было добраться до чужих аудиофайлов. Ещё один сценарий, который он описывает, — возможность добавить себя «общим владельцем» чужого устройства через недостаточно защищённый метод совместного доступа.

История сопровождалась и конфликтом вокруг «правил игры» для исследователя. По приведённой автором хронологии, он сообщил о проблемах 5 ноября 2025 года, получил подтверждение приёма и предложение вознаграждения $500, после чего компания уже после передачи платёжных данных прислала письмо о конфиденциальности и несколько раз просила его подписать. Исследователь утверждает, что заранее на NDA не соглашался и подписывать документ отказался, подчеркнув, что одностороннее «прислали деньги — значит согласился» не работает.

На 4 декабря, по его словам, Petlibro сообщала, что «большинство» уязвимостей устранено, а обход авторизации «исправлен в последней версии приложения», но уязвимый «устаревший» маршрут продолжал работать ещё несколько недель. В обновлении к публикации автор пишет, что 28 декабря 2025 года компания письменно уведомила его об отключении проблемного маршрута — после того, как он предупредил о готовящемся посте.

Для пользователей вывод выглядит простым: если вы используете Petlibro (или любые подобные IoT-устройства), стоит обновить приложение и прошивки до актуальных версий, а также осторожнее относиться к социальному входу и общему доступу к устройствам. Для производителей же кейс очередной раз напоминает: «совместимость» не должна быть оправданием для сохранения опасного функционала, когда речь идёт об авторизации и удалённом контроле устройств в доме.