Специалисты «Лаборатории Касперского» исследовали семь самых популярных трекеров для отслеживания местоположения домашних питомцев:

  • Kippy Vita
  • LINK AKC Smart Dog Collar
  • Nuzzle Pet Activity and GPS Tracker
  • TrackR bravo and pixel
  • Tractive GPS Pet Tracker
  • Weenect WE301
  • Whistle 3 GPS Pet Tracker & Activity Monitor

Оказалось, что в каждом из них есть слабые места, которыми злоумышленники могут воспользоваться, чтобы перехватить данные или вывести гаджет из строя.

В четырех исследованных моделях уязвимости содержатся в технологии BLE — спецификации Bluetooth для IoT-устройств, в которой не предусмотрена защита с помощью PIN-кода. Так как на самих трекерах нет ни экранов, ни клавиатуры, связь с ними осуществляется при помощи других устройств, как правило, смартфонов. Доступ к сервисам предполагает идентификацию пользователя, причем при правильной реализации передача данных и MAC-адрес должны или дополнительно подтверждаться, или шифроваться на стороне сервера.

Однако только три трекера не взаимодействуют со смартфоном напрямую. Kippy Vita передает GPS-координаты на сервер через встроенную SIM-карту, а Tractive и Weenect WE301 устанавливают соединение со смартфоном через собственные серверы.

При этом программное обеспечение Kippy Vita, по мнению экспертов, надежнее: оно проверяет SSL-сертификат, а Android-приложение шифрует данные до того, как их сохранить. Единственным слабым местом программы является запись данных в лог — в том числе логина, пароля и аутентификационного токена.

Android-приложения Tractive и Weenect WE301, как выяснили специалисты, не проверяют сертификат сервера и хранят данные для входа в незашифрованном виде.

Остальные трекеры могут напрямую подключаться к смартфону при помощи BLE. Однако если у Link AKC проблемы только с приложением для Android, в котором разработчики не отключили запись логов, то у Nuzzle небезопасно и соединение с Bluetooth: нет авторизации и контроля доступа. Злоумышленник может не только подключиться к устройству и считывать данные, но и скрыть гаджет от владельца, так как если координаты уже прошли через BLE, то для экономии заряда они не дублируются через мобильную сеть.

Эксперты нашли уязвимости и в программном обеспечении Nuzzle: приложение «не проверяет сертификат сервера, а аутентификационный токен и адрес электронной почты пользователя хранятся в папке приложения в незашифрованном виде».

В брелоках Bravo и Pixel от компании TrackR нет GPS-модуля, поэтому связаться с ними можно только через Bluetooth. При этом при подключении отсутствует аутентификация, поэтому «кто угодно может зарегистрироваться в мобильном приложении и отправить поддельные координаты». Злоумышленник также может включить звуковой сигнал, чтобы найти животное раньше владельца или разрядить батарею.

Эксперты «Лаборатории Касперского» пришли к выводу, что только один из гаджетов правильно использует технологию Bluetooth LE для связи со смартфоном, и «всего одно из протестированных Android-приложений проверяет сертификат своего сервера, не полагаясь на систему». Таким образом, злоумышленники могут перехватить данные большинства трекеров, а некоторые из них — использовать и для других целей.

Категории: Аналитика, Уязвимости