Три ошибки в протоколе Xiaomi позволяют получить root-доступ к камере C400 по Wi-Fi

TASZK Security Labs опубликовала полную цепочку эксплуатации трёх ошибок в проприетарном протоколе miIO камеры Xiaomi C400. Код эксплойта и инструмент для отключения камеры от облака Xiaomi выложены на GitHub 16 марта 2026 года. Об ошибках сообщили Xiaomi в сентябре 2025.

Протокол miIO работает поверх UDP-порта 54321. Он управляет настройкой и взаимодействием устройств во всей экосистеме умного дома Xiaomi. Камера C400 работает на встроенном Linux (Buildroot) с тремя основными процессами. miio_client отвечает за сетевое взаимодействие и остаётся единственным открытым портом, кроме DHCP. imi_mike управляет оборудованием. mi_daemon следит за обоими и перезапускает их при сбое.

При первой настройке смартфон подключается к открытой точке доступа Wi-Fi камеры. Обмен ключами по протоколу ECDH (алгоритм Диффи-Хеллмана на эллиптических кривых) защищён 128-битным кодом, считанным с QR-наклейки на корпусе.

Первая ошибка позволяет обойти эту аутентификацию.

Атакующий завершает рукопожатие, воспроизводя значения, которые камера сама отправляет в ответе. QR-код не нужен. Физический доступ к устройству не требуется.

Вторая ошибка затрагивает генератор псевдослучайных чисел (ГПСЧ). Процесс miio_client использует стандартный аддитивный генератор Фибоначчи из библиотеки uClibc, не предназначенный для криптографии, для создания пар ключей ECDH. После примерно 22 пакетов рукопожатия все будущие случайные значения становятся предсказуемыми. TASZK описывает самый опасный сценарий. Злоумышленник вскрывает ГПСЧ, покидает зону Wi-Fi и позволяет настоящему владельцу завершить настройку. Все будущие ключи сессий остаются вычислимыми. После этого он расшифрует весь трафик miIO, включая пароль от Wi-Fi, который смартфон передаёт камере открытым текстом.

Третья ошибка представляет собой переполнение буфера в куче в функции расшифровки AES-128-CBC. Когда длина полезной нагрузки пакета не кратна 16 байтам, функция читает и записывает один полный блок (16 байт) за пределами выделенного участка памяти. Атакующий контролирует содержимое переполнения, отправляя UDP-пакет физически крупнее заявленного в заголовке miIO размера.

Сборка сетевого двоичного файла без PIE (позиционно-независимого исполняемого кода) на IoT-устройстве 2024 года выпуска означает отсутствие базовой защиты. PIE стал стандартом на настольном Linux с 2015 года, на Android с версии 5.0 (2014). Без PIE все адреса в файле фиксированы и предсказуемы, что превращает переполнение кучи в надёжный эксплойт с минимальными усилиями.

— Артем Сафонов, Аналитик угроз в AnonHaven

Исследователь TASZK Ботонд Хартманн (Botond Hartmann) собрал полную цепочку эксплуатации за два месяца стажировки. Цепочка повреждает запись в списке быстрых блоков (fastbin) распределителя памяти uClibc и подставляет поддельный блок по известному адресу в двоичном файле без PIE. Следующее выделение памяти перезаписывает указатель на функцию miio_info_kvs_hook_default. Обычный запрос miIO вызывает выполнение кода по подставленному адресу. ROP-цепочка (последовательность фрагментов существующего кода) переключает стек на контролируемые данные и записывает код обратной оболочки (bind shell) в исполняемую область памяти через /proc/self/mem. На выходе злоумышленник получает root-оболочку без какой-либо изоляции (песочницы).

При неудачной попытке процесс mi_daemon перезапускает упавший miio_client с чистой памятью. Злоумышленник может повторять атаку.

Та же цепочка, которая позволяет владельцу камеры отвязать её от облака Xiaomi и настроить локальную запись, позволяет злоумышленнику по соседству незаметно установить в камеру закладку. Закладка переживает перезагрузки через пользовательский скрипт в /mnt/data/sysctl. Инструмент TASZK для «освобождения» камеры подключается к двоичному файлу imi_mike через LD_PRELOAD, передаёт видео по TLS на сервер владельца, записывает на SD-карту с асимметричным шифрованием и управляет поворотным механизмом. Всего около 600 строк кода. Исследование двойного назначения в чистом виде.

— Артем Сафонов, Аналитик угроз в AnonHaven

У умных камер Xiaomi есть история проблем с безопасностью. В январе 2020 года Xiaomi подтвердила утечку. Камера Mijia показывала видеопоток случайных пользователей на чужих экранах Google Nest Hub. В июне 2025 года в приложении Mi Connect Service App нашли уязвимость CVE-2024-45347 (CVSS 9.6). Злоумышленник в той же сети мог перехватить управление устройствами без взаимодействия с пользователем.

TASZK Security Labs (Венгрия) специализируется на исследовании безопасности мобильных и встраиваемых устройств. Их предыдущие работы по модемам Samsung Exynos и MediaTek принесли более 17 идентификаторов CVE, включая удалённое выполнение кода по воздуху без действий пользователя (zero-click). Исследование Xiaomi C400 стало первой опубликованной работой TASZK в области IoT (интернет вещей). Лорант Сабо (Lorant Szabo) руководил этапом аппаратного реверс-инжиниринга.

Xiaomi получила все три отчёта в сентябре 2025 года. TASZK отмечает ограничивающий фактор. «Ошибки требуют физически близкого злоумышленника на практике, что ограничивает их критичность». Детали процесса раскрытия и статус исправлений описаны в сопроводительных бюллетенях. Официального заявления от Xiaomi по состоянию на 17 марта 2026 года не было.

Владельцам C400 следует проверить наличие обновлений прошивки. Не выполняйте первую настройку камеры в местах, где посторонние могут находиться в зоне Wi-Fi. Нажатие кнопки сброса в течение 10 секунд возвращает камеру в уязвимое заводское состояние. TASZK прямо предупреждает, что заклеивание QR-наклейки на корпусе не защищает. Ошибка ГПСЧ полностью устраняет необходимость в QR-коде. Изоляция камеры в отдельную сеть (VLAN) ограничит перемещение злоумышленника по сети в случае компрометации.