«Лаборатория Касперского» исследовала умные устройства для слежки за питомцами и рассказала о возможных рисках.
Специалисты “Лаборатории Касперского” исследовали семь самых популярных трекеров для отслеживания местоположения домашних питомцев:
Оказалось, что в каждом из них есть слабые места, которыми злоумышленники могут воспользоваться, чтобы перехватить данные или вывести гаджет из строя.
В четырех исследованных моделях уязвимости содержатся в технологии BLE — спецификации Bluetooth для IoT-устройств, в которой не предусмотрена защита с помощью PIN-кода. Так как на самих трекерах нет ни экранов, ни клавиатуры, связь с ними осуществляется при помощи других устройств, как правило, смартфонов. Доступ к сервисам предполагает идентификацию пользователя, причем при правильной реализации передача данных и MAC-адрес должны или дополнительно подтверждаться, или шифроваться на стороне сервера.
Однако только три трекера не взаимодействуют со смартфоном напрямую. Kippy Vita передает GPS-координаты на сервер через встроенную SIM-карту, а Tractive и Weenect WE301 устанавливают соединение со смартфоном через собственные серверы.
При этом программное обеспечение Kippy Vita, по мнению экспертов, надежнее: оно проверяет SSL-сертификат, а Android-приложение шифрует данные до того, как их сохранить. Единственным слабым местом программы является запись данных в лог — в том числе логина, пароля и аутентификационного токена.
Android-приложения Tractive и Weenect WE301, как выяснили специалисты, не проверяют сертификат сервера и хранят данные для входа в незашифрованном виде.
Остальные трекеры могут напрямую подключаться к смартфону при помощи BLE. Однако если у Link AKC проблемы только с приложением для Android, в котором разработчики не отключили запись логов, то у Nuzzle небезопасно и соединение с Bluetooth: нет авторизации и контроля доступа. Злоумышленник может не только подключиться к устройству и считывать данные, но и скрыть гаджет от владельца, так как если координаты уже прошли через BLE, то для экономии заряда они не дублируются через мобильную сеть.
Эксперты нашли уязвимости и в программном обеспечении Nuzzle: приложение “не проверяет сертификат сервера, а аутентификационный токен и адрес электронной почты пользователя хранятся в папке приложения в незашифрованном виде”.
В брелоках Bravo и Pixel от компании TrackR нет GPS-модуля, поэтому связаться с ними можно только через Bluetooth. При этом при подключении отсутствует аутентификация, поэтому “кто угодно может зарегистрироваться в мобильном приложении и отправить поддельные координаты”. Злоумышленник также может включить звуковой сигнал, чтобы найти животное раньше владельца или разрядить батарею.
Эксперты “Лаборатории Касперского” пришли к выводу, что только один из гаджетов правильно использует технологию Bluetooth LE для связи со смартфоном, и “всего одно из протестированных Android-приложений проверяет сертификат своего сервера, не полагаясь на систему”. Таким образом, злоумышленники могут перехватить данные большинства трекеров, а некоторые из них — использовать и для других целей.