Уязвимости в аэрофритюрницах Cosori могут испортить обед

Специалисты Cisco Talos обнаружили в «умных» аэрофритюрницах Cosori две уязвимости, позволяющие удаленное выполнение кода.

Cosori Smart Air Fryer – это кухонная утварь с возможностью подключения к Wi-Fi, предназначенная для приготовления пищи различными способами. Через Wi-Fi пользователи могут включать и отключать аэрофритюрницу, находить рецепты блюд в интернете и следить за процессом приготовления.

Уязвимости (CVE-2020-28592 и CVE-2020-28593) позволяют злоумышленникам удаленно внедрять в устройство вредоносный код и тем самым менять температуру, время приготовления и настройки аэрофритюрницы или включать ее без ведома пользователя.

Проэксплуатировать уязвимости можно путем отправки на устройство особым образом сконфигурированных пакетов с уникальным JSON-объектом, позволяющих удаленное выполнение кода.

Несмотря на отсутствие исправления со стороны производителя, Cisco Talos рассказала о проблеме широкой общественности в соответствии со своими политиками раскрытия уязвимостей. Компания Cosori не выпустила исправление в течение 90 дней, и Cisco Talos опубликовала уязвимости.