Co všechno je ohroženo kybernetickou kriminalitou? Četl jsem odlehčený a možná lehce kuriózní výzkum Kaspersky Lab, o který bych se s vámi podělil.
Propojení a souvislosti si občas nedokážeme plně uvědomovat a tento výzkum dokládá, že v nebezpečí se mohou ocitnout i psi a další domácí miláčci, a tím pádem i my. Jak?
Bezpečnostní analytici Roman Unuchek a Roland Sako z Kaspersky Lab se zaměřili na systémy, které sledují polohu našich čtyřnohých společníků (trackery). V nejoblíbenějších z těchto zařízení nalezli několik zranitelností, které umožňují například krást osobní údaje, zjišťovat polohu zvířete, ale také měnit data, která vidí legitimní uživatel.
Konkrétně byly zjištěny např. následující bezpečnostní problémy:
- Komunikace přes Bluetooth (respektive verze Bluetooth low energy) nevyžaduje ověření,
- Zařízení/komunikační aplikace obsahuje potenciálně citlivé informace, jako je poloha člověka, jeho jméno, e-mail…,
- Při komunikaci https se nekontrolují certifikáty serveru, což umožňuje útoky man-in-the-middle,
- Autorizační tokeny se uchovávají v nešifrované podobě,
- Do zařízení lze nainstalovat falešný firmware,
- Příkazy v rámci ovládací aplikace nevyžadují autorizaci, může je z telefonu posílat kdokoliv.
Konkrétně byly analyzovány modely Kippy Vita, LINK AKC Smart Dog Collar, Nuzzle Pet Activity and GPS Tracker, TrackR bravo and pixel, Tractive GPS Pet Tracker, Weenect WE301 a Whistle 3 GPS Pet Tracker & Activity Monitor. Samozřejmě byl na zjištěné problémy upozorněn výrobce, objevené zranitelnosti jsou regulérně vedeny v databázi zranitelností CVE.
Útočník může v důsledku popsaných bezpečnostních děr získat detailní informace o tom, jak se příslušný pes venku obvykle pohybuje, což lze zneužít pro naplánování krádeže a vydírání vlastníka. Dále lze tímto způsobem podvrhnout majiteli psa třeba údaj o tom, že pes opustil domov (člověku v práci někdo zavolá „zrovna vašeho psa odvážíme ze zahrady“). A co třeba pouhé uzamčení zařízení pomocí ransomwaru? Pokud by tracker kromě sledování umožňoval dávat psovi na dálku i povely (některá zařízení umožňují mluvit na psa, když se zaběhne a zkusit ho tak uklidnit). Představme si třeba vcelku nevinný žert, kdy někdo takhle přiměje psa, aby proštěkal celou noc (nebo vytvoří botnet, který takto ovládne všechny psy ve městě). Samozřejmě lze pomocí zařízení pro psa i krást údaje o uživateli nebo přes tento zranitelný bod zkusit pronikat k dalším zařízením v zasíťované domácnosti.
Může se to zdát jako kuriozita, „psí kriminalitu“ si spojujeme hlavně se Švejkem. Sám Roman Unuchek jako jeden z autorů studie přiznává, že zatím o žádném zneužití bezpečnostních mezer trackerů neví. Jenže kolem psů vznikl obrovský trh (veterinární péče, krmivo, výcvik, zábava, ba i ubytovací služby…). Existují psi speciálně cvičení, kteří mají velkou cenu (hlavně u bezpečnostních složek). Bylo by divné, kdyby tuto skutečnost opomíjeli kriminálníci. Nakonec vzpomeňme třeba film Sedm psychopatů – ten vypráví o lidech, kteří se živí z odměn za nalezení psa (jehož ovšem předtím sami odcizili). Množství ukradených psů v západním světě neustále roste a s tím, jak jsou psi stejně jako my sami obklopeni stále větším počtem propojených zařízení, je vznik kyberneticko-kynologické kriminality jako specializované výdělečné činnosti pouze otázkou času. Což třeba akce cílená proti psu, který vyhledává drogy?
Podobná zařízení se používají i pro sledování pohybu dětí nebo lidí starých či nemocných. Navíc trackery pro psy mají přece jen omezenou funkčnost. U zařízení určených pro lidi se k tomu přidávají komunikační aplikace nebo sledování zdravotního stavu, takže podvrhnout lze větší množství informací a větší je rovněž počet typů potenciálních bezpečnostních zranitelností.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r.o.