I ricercatori di Kaspersky Lab hanno scoperto vulnerabilità in una serie di pet tracker (dispositivi GPS per il tracciamento degli animali) di diversi brand, tra cui Kippy Vita, Nuzzle, Tractive, Weenect e Whistle. Così come accade per gli altri dispositivi connessi a Internet, le problematiche relative alla sicurezza in questi pet tracker potrebbero permettere accessi non autorizzati alla rete e alle informazioni sensibili archiviate all’interno. Le vulnerabilità scoperte includono:
• Funzionalità Bluetooth che non richiedono alcuna autenticazione per la connessione;
• Dispositivi di tracciamento e app che trasmettono dati sensibili, come il nome del proprietario, la sua email e le sue coordinate;
• Possibile mancanza di controllo su HTTPS per la connessione, che rende possibili scenari alla Man-in-the-Middle, attacchi che si verificano quando qualcuno intercetta una connessione WiFi;
• Token di autorizzazione e coordinate possono essere archiviate nel dispositivo senza crittografia;
• Possono essere installati falsi firmware;
• I comandi possono essere inviati ai dispositivi di tracciamento senza controllare l’ID dell’utente, il che significa che potrebbero essere inviati da chiunque, non solo dal proprietario.
I pet tracker (dispositivi di tracciamento per animali domestici) sono utilizzati dai proprietari per salvaguardare la sicurezza dei nostri piccoli amici e per sapere dove sono quando non sono sotto stretta supervisione, sfruttando il principio delle coordinate GPS che vengono inviate alla app del proprietario con frequenza regolare, anche minuto per minuto. C’è la possibilità che qualcun altro intercetti quelle coordinate per sapere dove si trova il nostro animale domestico o per conoscere le nostre normali abitudini, come le passeggiate quotidiane; questo significa che i cybercriminali hanno il potenziale per ottenere abbastanza informazioni sui movimenti dei nostri animali domestici, volendo anche per organizzare il loro rapimento.
Il dog-napping, infatti, è una minaccia non molto nota; secondo i dati raccolti dall’Associazione italiana Difesa animali e ambiente (AIDAA), si contano 70 cani rapiti ogni giorno in Italia. Nel 2017, sarebbero stati 25mila i cani rubati. Meno di 20mila esemplari sarebbero poi stati ritrovati, mentre dei rimanenti si sono perse le tracce. Quello dei furti dei cani muove un giro d’affari che spazia ogni anno dai 5 ai 7 milioni di euro nel nostro paese . Le motivazioni per il dog-napping possono essere molte: si va dal furto per allevamento alle battaglie tra cani e, non troppo diffuso ma comunque presente, il furto di un animale a scopo di estorsione. Il commercio in gatti e cani si aggira intorno a 1,3 miliardi di euro all’anno nell’Unione Europea e i “designer dog” (incroci derivati da cani di razza) rubati possono valere fino a 1.000 sterline se venduti online.
Morten Lehn, General Manager Italy di Kaspersky Lab ha rilasciato un commento su questo tipo di vulnerabilità, dicendo che “le vulnerabilità in questi tracker e nelle app aprono certamente alla possibilità che i cybercriminali possano individuare con maggior precisione gli animali domestici, oppure inviare false coordinate al server, con lo scopo di farci perdere le tracce dei nostri piccoli amici. Inoltre le informazioni che questi dispositivi trasmettono possono essere usate per risalire ai dati del proprietario, come password o indirizzi email, che hanno un valore per i cybercriminali.”
Anche i dispositivi GPS digitali che servono per localizzare gli animali feroci, come le tigri e i lupi, possono essere manomessi da malintenzionati, come i bracconieri, ad esempio. Nel 2013 è stato compromesso il dispositivo GPS di una tigre; i bracconieri del parco di Yellowstone, poi, sono stati in grado di usare dei ricevitori di segnale relativamente economici per raccogliere segnali GPS dai lupi provvisti di segnalatori.
L’allarme sicurezza di Kaspersky Lab sui tracker per animali ribadisce la preoccupazione riguardo ai dispositivi intelligenti connessi alle reti WiFi domestiche, perché offrono un mezzo di accesso semplice per i criminali. I tracker intelligenti, infatti, sono solo un altro dispositivo connesso che i criminali possono utilizzare per accedere alla rete di una vittima e portare scompiglio anche oltre il dispositivo originale. Kaspersky Lab ha segnalato tutte le vulnerabilità rilevate ai produttori e molte di esse sono già state risolte.
Per saperne di più sulle vulnerabilità scoperte nei pet tracker, è disponibile il report in versione integrale a questo link.