Rogue Start-Up di Robot sweeper

Ho una spazzatrice robot Xiaomi Mi e alle 7:40:40 ogni giorno viene avviata da un messaggio Internet canaglia. Ho salvato la tabella IP attiva dal firmware del router DD-WRT immediatamente prima e dopo diversi avviamenti e ho trovato i seguenti indirizzi IP (esterni) IP univoci, in cui l'ip (locale) di origine era quello dello sweeper:

52.80.189.157 52.80.66.219

È possibile modificare il firewall nel firmware DD-WRT del router per includere tutti gli indirizzi 52.80.xx.xx tramite l'ingresso "Riga di comando" in "amministrazione"?

security hardware xiaomi-mi

— Aurora0001
fonte

Sì, ora sembra che stia raggiungendo lo spegnimento del robot e in quel momento specificato non c'era nulla in arrivo. Ora sto bloccando un intervallo specifico in uscita che include gli IP noti, ovvero 52.84.0.0/21.

Risposte:

Secondo la pagina di Amazon , è disponibile un servizio cloud per l'aspirapolvere. Presumibilmente, questo è ciò con cui l'app sta comunicando. Puoi anche usare Alexa con l'aspirapolvere , quindi ci sono molti punti in cui i pacchetti potrebbero venire dal tuo aspirapolvere.

Uno degli IP che hai elencato sembra essere una società o parte di un'università in Cina, non posso dire quale sia la mia pagina whois.

Cercando ancora quella compagnia, ho trovato questa pagina , dimostrando che la compagnia potrebbe essere un datacenter.

Quindi stai guardando una funzionalità per la quale tu o qualcun altro ti sei registrato e di cui hai dimenticato, o che indirizzi IP cattivi conosciuti possiedono la tua rete. È una specie di tiro a segno a questo punto con le informazioni fornite. Tuttavia, gli hacker di questi tempi sarebbero più interessati a usare il robot come parte di una botnet o un minatore di Bitcoin piuttosto che prenderti in giro ogni giorno alla stessa ora.

— YetAnotherRandomUser
fonte

Ci sono servizi cloud con cui Xiaomia Mi funziona ma quegli IP si identificano bene. I due IP che ho identificato nella domanda originale indicano un nome host di "ec2-52-80-189-157.cn-north-1.compute.amazonaws.com.cn" e "ec2-52-80-66-219. cn-north-1.compute.amazonaws.com.cn "nel sito Webanalysis. Stasera bloccherò l'accesso a 52.84.0.0/21 che include entrambi i siti (e altro) per vedere se ha qualche effetto.

Poiché l'avvio "canaglia" del robot si verifica solo quando è collegato a Internet, la soluzione della forza bruta consiste semplicemente nel negare l'accesso a Internet dalle 19:00 alle 19:01 utilizzando una restrizione di accesso DD-WRT. Ci proverò stasera (17/10/18).

La negazione dell'accesso a Internet del robot vac per un minuto alle 19:00 ha funzionato. Ora proverò solo a bloccare specifici intervalli di indirizzi IP relativi a quelli visti nelle tabelle IP senza negare di ottenere una conoscenza più approfondita della fonte di "vac start", ovvero 42.62.64.0 / 18, ecc.

Perché non disconnettere il robot dal wifi o ripristinarlo alle impostazioni di fabbrica, scollegandolo quindi da qualsiasi account cloud che hai?

— YetAnotherRandomUser,

Come ho accennato nel mio ultimo commento, negare l'accesso a Internet tramite DD-WRT dalle 19:00 alle 19:01 ha fatto proprio questo quando si verifica il problema. Tutte le altre volte ho bisogno del wifi per gestirlo da remoto usando il mio tablet. È diventato chiaro ora che gli IP pubblicitari di Amazon sono i colpevoli (52.xx.xx.xx e 54.xx.xx.xx). Grazie per l'interesse

Secondo il commento di Scott e ignorando la domanda originale, la storia è che apparentemente un aggiornamento del firmware per la mia spazzatrice robot includeva l'opzione di una modalità "automatica" con un default di accenderlo a 1900 DST (e 1800 quando DST terminò). Dico "apparentemente" perché non ero a conoscenza di una tale "modalità automatica" fino a circa una settimana prima della fine dei quaranta giorni menzionati nel post di Scott.

Sul mio tablet dove seguo la spazzatrice robot e lo riavvio quando si è lamentato della spazzola bloccata, sono finalmente inciampato nella "nuova" "parte" automatica del programma e ho visto "1800". Wow! Parte delle istruzioni e delle informazioni in modalità automatica sono in cinese, quindi carattere per carattere l'ho tradotto in inglese e ho determinato come disattivare l'opzione "automatico". Anche in inglese questi programmi non sono davvero facili da usare.

In "automatico" il robot utilizza un programma su uno dei tanti cloud Amazon per implementare l'avvio automatico. Ho bloccato 24 intervalli di indirizzi IP nel router dall'accesso da parte dello sweeper e senza successo ho infine bloccato lo sweeper dall'accesso a Internet per il 1 minuto in cui si stava verificando. Quello ha funzionato. Stavo per provare a bloccare le istruzioni in arrivo allo spazzino per identificare l'indirizzo IP del colpevole quando ho pubblicato la domanda originale.

Inizialmente ho provato a contattare il venditore / fabbrica del soggetto ma non hanno rivendicato l'obbligo di "esportare" i clienti.

Sì, lo sfondo della domanda è più interessante della domanda.