Die Sicherheitsforscher von Kaspersky Lab haben in mehreren GPS-Trackern für Haustiere Schwachstellen entdeckt.
Die Sicherheitsforscher von Kaspersky Lab haben in mehreren GPS-Trackern für Haustiere Schwachstellen entdeckt. Diese ermöglichen Angreifern unautorisierten Zugang ins Heimnetzwerk und den darin gespeicherten Informationen [1]. Kaspersky Lab hat die Hersteller über die Schwachstellen umgehend informiert; einige der Lücken wurden bereits geschlossen.
Tracker werden von Tierhaltern zur Standort-Überwachung der Tiere eingesetzt. Dabei werden die GPS-Koordinaten des Trackers am Tier regelmäßig an eine App des Halters gesendet. Durch Schwachstellen im Tracker und/oder der App können diese Daten jedoch abgefangen werden, so dass die Angreifer den Standort des Tieres – und gegebenenfalls des Halters – ermitteln können.
In beliebten Trackern von Kippy Vita, Nuzzle, Tractive, Weenect und Whistle fanden Kaspersky-Experten allerdings noch weitere Schwachstellen:
- Bluetooth-Funktionen, für die keine Authentifizierung für die Verbindung erforderlich ist;
- Tracker und Apps, die sensible Daten wie Name, E-Mail-Adresse und Koordinaten des Besitzers übermitteln;
- keine Überprüfung von HTTPS für die Verbindung, so dass Man-in-the-Middle-Attacken – wenn jemand den WiFi-Traffic abfängt – möglich sind;
- Autorisierungstoken und Koordinaten können ohne Verschlüsselung auf einem Gerät gespeichert werden;
- falsche Firmware kann installiert werden;
- An den Tracker können Befehle gesendet werden, ohne dass die Benutzer-ID überprüft wird. Das bedeutet, dass Befehle von jedem Benutzer gesendet werden können, nicht nur vom Besitzer
„Die von uns in den Apps und Trackern gefundenen Sicherheitslücken eröffnen Kriminellen die Möglichkeit, die Haustiere und gegebenenfalls damit ihre Halter zu lokalisieren oder falsche Koordinaten an den Server zu senden, beispielsweise um ein Tier zu kidnappen“, so Roman Unucheck, Sicherheitsexperte bei Kaspersky Lab. „Wir haben noch keine Beispiele gesehen, bei denen Tracker für die Entführung von Tieren eingesetzt wurden, jedoch können übermittelte Informationen wie Passwörter oder E-Mail-Adressen, für Kriminelle wertvoll sein.“
Alle mit einem WLAN-Netzwerk verbundenen smarten Geräte können prinzipiell eine Bedrohung für den Nutzer darstellen. Denn sie bieten Cyberkriminellen einen einfachen Weg einzudringen. Smarte Tracker sind nur ein weiteres Beispiel vernetzter Geräte, über das in ein Netzwerk eingedrungen werden kann. Kaspersky Lab hat alle gefundenen Sicherheitslücken den jeweiligen Anbietern gemeldet, viele davon wurden bereits gepatcht.
Mehr zu Informationen zur Kaspersky-Schwachstellen-Analyse in GPS-Tracker für Haustiere finden sich unter https://securelist.com/i-know-where-your-pet-is/85600
[1]https://securelist.com/i-know-where-your-pet-is/85600
Nützliche Links:
- Kaspersky-Report „I know where your pet is”: https://securelist.com/i-know-where-your-pet-is/85600
- Kaspersky-Video Smart Home und Haustiere: https://youtu.be/Z45qzFWYM3E
Kaspersky-Blog Internet der Dinge: https://www.kaspersky.de/blog/internet-of-vulnerabilities/15385/