SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Уязвимости в трекерах для домашних животных

24 мая 2018 г., четверг, 04:10

«Лаборатория Касперского» исследовала умные устройства для слежки за питомцами и рассказала о возможных рисках.

Специалисты “Лаборатории Касперского” исследовали семь самых популярных трекеров для отслеживания местоположения домашних питомцев:

  • Kippy Vita
  • LINK AKC Smart Dog Collar
  • Nuzzle Pet Activity and GPS Tracker
  • TrackR bravo and pixel
  • Tractive GPS Pet Tracker
  • Weenect WE301
  • Whistle 3 GPS Pet Tracker & Activity Monitor

Оказалось, что в каждом из них есть слабые места, которыми злоумышленники могут воспользоваться, чтобы перехватить данные или вывести гаджет из строя.

В четырех исследованных моделях уязвимости содержатся в технологии BLE — спецификации Bluetooth для IoT-устройств, в которой не предусмотрена защита с помощью PIN-кода. Так как на самих трекерах нет ни экранов, ни клавиатуры, связь с ними осуществляется при помощи других устройств, как правило, смартфонов. Доступ к сервисам предполагает идентификацию пользователя, причем при правильной реализации передача данных и MAC-адрес должны или дополнительно подтверждаться, или шифроваться на стороне сервера.

Однако только три трекера не взаимодействуют со смартфоном напрямую. Kippy Vita передает GPS-координаты на сервер через встроенную SIM-карту, а Tractive и Weenect WE301 устанавливают соединение со смартфоном через собственные серверы.

При этом программное обеспечение Kippy Vita, по мнению экспертов, надежнее: оно проверяет SSL-сертификат, а Android-приложение шифрует данные до того, как их сохранить. Единственным слабым местом программы является запись данных в лог — в том числе логина, пароля и аутентификационного токена.

Android-приложения Tractive и Weenect WE301, как выяснили специалисты, не проверяют сертификат сервера и хранят данные для входа в незашифрованном виде.

Остальные трекеры могут напрямую подключаться к смартфону при помощи BLE. Однако если у Link AKC проблемы только с приложением для Android, в котором разработчики не отключили запись логов, то у Nuzzle небезопасно и соединение с Bluetooth: нет авторизации и контроля доступа. Злоумышленник может не только подключиться к устройству и считывать данные, но и скрыть гаджет от владельца, так как если координаты уже прошли через BLE, то для экономии заряда они не дублируются через мобильную сеть.

Эксперты нашли уязвимости и в программном обеспечении Nuzzle: приложение “не проверяет сертификат сервера, а аутентификационный токен и адрес электронной почты пользователя хранятся в папке приложения в незашифрованном виде”.

В брелоках Bravo и Pixel от компании TrackR нет GPS-модуля, поэтому связаться с ними можно только через Bluetooth. При этом при подключении отсутствует аутентификация, поэтому “кто угодно может зарегистрироваться в мобильном приложении и отправить поддельные координаты”. Злоумышленник также может включить звуковой сигнал, чтобы найти животное раньше владельца или разрядить батарею.

Эксперты “Лаборатории Касперского” пришли к выводу, что только один из гаджетов правильно использует технологию Bluetooth LE для связи со смартфоном, и “всего одно из протестированных Android-приложений проверяет сертификат своего сервера, не полагаясь на систему”. Таким образом, злоумышленники могут перехватить данные большинства трекеров, а некоторые из них — использовать и для других целей.

 

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.090
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.