Istraživači kompanije Kaspersky Lab otkrili su bezbednosne ranjivosti u okviru brojnih popularnih brendova uređaja za praćenje ljubimaca, uključujući I brendove Kippy Vita, Nuzzle, Tractive, Weenect i Whistle. Kao što je slučaj sa bilo kojim uređajem koji se povezuje na internet, bezbednosni rizici prisutni u uređajima za praćenje ljubimaca mogli bi da omoguće neovlašćen pristup vašoj mreži i osetljivim podacima koji se nalaze na njoj. Identifikovane ranjivosti uključuju:
- Blutut povezivanje bez zahtevane autentifikacije
- Uređaje za praćenje i aplikacije koji prenose osetljive podatke poput imena vlasnika, njegovog i-mejla i geografskih koordinata
- Povezivanje bez provere HTTPS protokola, što omogućava posredničke scenarije intruzije (Man-in-the-Middle scenarios), gde neko može presretati vajfaj internet saobraćaj
- Čuvanje autorizacionih tokena i geografskih koordinata bez enkripcije na uređajima
- Instaliranje lažnog firmvera
- Komande koje se mogu slati na uređaje za praćenje bez proveravanja korisničkog ID-a, što znači da komande može slati bilo ko, ne samo vlasnik
Vlasnici ljubimaca koriste uređaje za praćenje kako bi motrili na bezbednost svojih ljubimaca i pratili gde se kreću kada ih ne nadgledaju, pri čemu se GPS koordinate šalju natrag na aplikaciju vlasnika svakog minuta. Samim postojanjem mogućnosti da neko drugi presreće te koordinate kako bi razumeo gde se vaš ljubimac nalazi u bilo kom trenutku, ili kako bi razumeo učestala kretanja poput vaših dnevnih šetnji, znači da postoji prilika za kriminalce da dobiju dovoljno informacija o kretanju vašeg ljubimca i kidnapuju ga.
Konkretno, kidnapovanje pasa predstavlja pretnju koja se ne spominje dovoljno. Istraživanje britanske osiguravajuće kuće Direct line konstatovalo je da je 2016. godine policiji prijavljeno 1,774 krađa pasa u Ujedinjenom Kraljevstvu. Međutim israživanje takođe navodi da 1,5 miliona odraslih ljudi tvrdi da je njihov pas ukraden, u proteklih 5 godina[1]. Motivi za krađu pasa mogu biti različiti, od krađe radi parenja do krađe radi upotrebe u borbi pasa, a iako se ređe dešava, moguće je i traženje otkupnine za ljubimce. Trgovina psima i mačkama dostiže godišnji promet od 1,3 milijarde evra u Evropskoj uniji[2], a ukradeni „psi dizajnirane vrste“ mogu dostići cenu i do 1000 funti kada se prodaju onlajn.
Roman Unuček (Roman Unuchek) iz kompanije Kaspersky Lab prokomentarisao je ove ranjivosti, rekavši: „Ranjivosti u okviru ovih aplikacija i uređaja za praćenje svakako pružaju kriminalcima priliku da preciznije lociraju ljubimce drugih ljudi, ili da pošalju lažne koordiante serveru, kako bi prikrili njihovo kidnapovanje. Još uvek nismo uočili slučajeve gde su uređaji za praćenje korišćeni za kidpanovanje pasa, ali informacije koje oni prenose se i dalje mogu koristiti da se pristupi podacima vlasnika, poput šifri ili imejl adresa, koji mogu biti vredni za kriminalce.“
Met Rajner (Matt Ryner), ljubitelj pasa i vlasnik iz Londona rekao je: „Moja Bafi (Buffy) nema GPS uređaj za praćenje jer je uvek držim blizu sebe, ali ipak se veoma plašim da je neko ne ukrade, posebno zato što je Bafi mops sa pedigreom. Međutim, ja u kući imam kameru pomoću koje mogu da vidim šta Bafi radi kada nisam kod kuće i ako bi hakeri mogli da presretnu taj signal, znali bi da nisam tu i ona bi mogla da bude ugrožena.“
Kada se uzmu u obzir druge namene uređaja za GPS praćenje životinja, prvenstveno njihovo očuvanje i zaštita, rizici su mnogo veći, posebno s obzirom na činjenicu da lovokradice sve više koriste tehnologiju kako bi potpomogli svoje akcije. Primera radi, 2013. godine GPS koordinate jednog tigra bile su kompromitovane i istražvači tvrde da su lovokradice u Nacionalnom parku Jeloustoun koristile relativno jeftine prijemnike signala kako bi uhvatili GPS signale označenih vukova.
Kompanija Kaspersky Lab veruje da svaki uređaj povezan na kućni WiFi može predstavljati pretnju po korisnike tako što pruža lak način da kriminalci dobiju neovlašćen ulaz. Pametni uređaji za praćenje predstavljaju još jedan povezan uređaj koji kriminalci mogu iskoristiti kako bi pristupili mreži potencijalne žrtve i naneli štetu, ne samo na tom uređaju već i na ostalim povezanim uređajima. Kompanija Kaspersky Lab je prijavila prodavcima sve ranjivosti koje je našla, a mnoge od njih su već otklonjene ažuriranim softverima.
Za dodatne informacije o ranjivostima koje su pronađene u okviru uređaja za praćenje ljubimaca, pročitajte ceo izveštaj: https://securelist.com/i-know-where-your-pet-is/85600
[1] https://www.directlinegroup.com/media/news/brand/2017/20170613.aspx
[2] Study on EU Trade in Cats and Dogs, European Commission, 2015
[2] Studija o Trgovini mačkama i psima, Evropska komisija, 2015.