Kisállattartók nagy bajban – betörő- és tolvajbarát nyomkövetők
Biztonsági réseket azonosítottak a Kaspersky Lab kutatói számos, népszerű háziállat-nyomkövetőnél (Kippy Vita, Nuzzle, Tractive, Weenect, Whistle). Az internetre csatlakozó bármely eszközhöz hasonlóan ezek a készülékek is lehetővé teszik, hogy illetéktelenek hozzáférjenek az őket működtető hálózathoz és a rajta tárolt érzékeny adatokhoz.
A talált sérülékenységek:
- Bluetooth-funkciók, amelyekhez nem kell hitelesítés
- a nyomkövetők továbbítják a tulajdonosok nevét, email-címét és koordinátáit
- nem ellenőrzi a HTTPS-kapcsolatot, így lehetővé teszi a MiTM-támadásokat[1]
- az engedélyezési tokeneket és a koordinátákat titkosítás nélkül tárolja a készülékeken
- parancsokat küldhet a készülékre bárki, nem csupán a tulajdonosa
A nyomkövetőket a háziállat-tulajdonosok használják arra, hogy megtalálják kedvencüket, amikor távol vannak tőlük. A nyomkövető percenként küldi a GPS-koordinátákat a tulajdonos okostelefonján lévő alkalmazására. Azzal, hogy valaki hozzáférhet ezekhez az adatokhoz – például a napi séta rutinjához – számos módon kihasználható. Ellophatják a kedvencet, kifoszthatják a lakást vagy egyéb módon károsíthatnak.
A kisállat-lopás valós jelenség Magyarországon is. Gyakori oka: kiemelkedően értékes kutya; előfordul, hogy külföldre szállítják a menhelyeken kapható magas pénzjutalom reményében; harci kutyákat képeznek belőlük. A macskák és kutyák kereskedelme 1300 millió euró értékű az Európai Unióban. Magyarországon az Európai Bizottság tanulmánya szerint kb. 4,5 millió háziállatot, elsősorban kutyát, macskát tartanak. Az unióban zajló kisállat-tenyésztés és -kereskedelem „nagyhatalmai”: Szlovákia, Magyar- és Spanyolország.
A háziállat-nyomkövetőknek a sérülékenységei számos lehetőséget nyitnak a kiberbűnözőknek. Az állatok GPS-szel történő nyomon követése, azaz őrzése kapcsán nagyok a kockázatok. Orvvadászok is kihasználják az új technológiát, akik már 2013-ban feltörték egy bengáli tigris nyomkövető nyakörvét Indiában.
A Kaspersky Lab minden sérülékenységet jelentett a gyártóknak, sokan közülük már kiadták a javítócsomagokat.
[1] Man-in-the-Middle – közbeékelődéses támadás során a két fél közötti kommunikációt kompromittálja egy támadó úgy, hogy a kommunikációs csatornát (tipikusan valamilyen számítógépes hálózatot) eltérítve mindkét fél számára a másik félnek adja ki magát.
