随着包括我们宠物在内的所有事物都开始涉及数字元素,保护联网设备以及其网络的安全将成为关键,这不仅仅涉及我们的信息,还包括我们最珍贵的财产的安全。
为了检查宠物是否可以免遭网络威胁的侵害,卡巴斯基实验室研究人员研究了几款常见的宠物追踪器,发现其中有能够被攻击者利用来入侵的漏洞,可用来发现或替换宠物以及其饲主的坐标,甚至窃取用户的敏感个人数据。
饲主使用宠物追踪器来监控宠物的安全,并通过每隔一分钟向饲主使用的应用程序发送GPS坐标的方式来跟踪他们的宠物在无人陪伴时的位置。但是,有些人能够拦截这些坐标信息,意味着他们可以在任何时间获取到宠物的位置,发现宠物主人的日常散步的细节,并最终获得关于宠物动向的足够信息,以便绑架宠物。
卡巴斯基实验室研究人员发现多个常用的宠物追踪器品牌包含以下漏洞:
- 蓝牙功能在连接时无需认证
- 追踪器和应用会传输敏感数据,例如饲主的姓名、邮件地址和坐标等
- 不检查HTTPS连接的服务器证书,使得中间人攻击成为可能(当有人拦截Wi-Fi流量时)
- 验证令牌和坐标被存储在设备上,并且没有加密
- 可以安装假冒的固件
- 可以在不检查用户ID的情况下向追踪器发送指令,意味着任何人都可以发送指令,不仅仅是宠物饲主
这些发现表明,即使宠物追踪器目前没有被广泛用来实施网络犯罪,但未来也可能与其它联网设备相提并论。这意味着宠物可能会处于危险之中。例如,绑架宠物狗就是一种非常现实的威胁。英国的统计数据显示,每周有60条狗被盗,这一数字在过去三年中增加了近24%。绑架宠物狗的动机有很多,有的是为了育种,有的是进行斗狗,甚至拿狗来索要赎金。
卡巴斯基实验室资深恶意软件分析师Roman Unuchek评论说:“这些应用程序和跟踪器中的漏洞确实为犯罪分子更准确地定位人们的宠物或向服务器发送虚假坐标以达到绑架目的提供了可能性。此外,连接设备的应用可用来窃取用户的个人数据。我们还没有看到利用追踪器和相关应用来绑架狗的案例,但是这些设备传输的信息仍然可用来访问有关饲主的信息,例如密码或邮件地址,而这些信息对网络罪犯是有价值的。”
卡巴斯基实验室已经将所有漏洞上报给设备制造商,其中很多漏洞已经被修复。卡巴斯基实验室认为保护家庭成员的安全非常重要,其中包括宠物。在当今这种无时无刻不联网的世界中,网络安全应该成为这种保护的不可或缺的组成部分。
