Smart pet feeder usati come tool di spionaggio
Topic
Approfondimenti
Trending
tutti

Smart pet feeder usati come tool di spionaggio

Negli smart pet feeder di Dogness sono presenti varie vulnerabilità che possono essere sfruttate per rubare dati e registrare video con la fotocamera.
Smart pet feeder usati come tool di spionaggio
Sicurezza Antivirus
Negli smart pet feeder di Dogness sono presenti varie vulnerabilità che possono essere sfruttate per rubare dati e registrare video con la fotocamera.
Amazon

È noto che i dispositivi IoT sono molto “popolari” tra i cybercriminali, in quanto i produttori trascurano spesso la sicurezza. I ricercatori di Kaspersky hanno scoperto che uno smart pet feeder di Dogness può essere utilizzato come strumento di sorveglianza remota o per infettare altri dispositivi collegati alla stessa rete locale.

Smart pet feeder per attività di spionaggio

Gli smart pet feeder sono connessi ad Internet tramite WiFi e possono essere controllati tramite app. Oltre ad impostare la giusta quantità di cibo per cani e gatti, i proprietari possono vedere e comunicare con l’animale domestico attraverso microfono, altoparlante e fotocamera. La comunicazione tra smart pet feeder e app avviene mediante cloud server.

Analizzando il codice di uno smart pet feeder di Dogness, gli esperti di Kaspersky hanno individuato diverse vulnerabilità. Una delle più gravi è presente nel server Telnet. Le credenziali dell’account root possono essere facilmente estratte dal firmware. Essendo “hard-coded”, la password è la stessa per tutti i dispositivi dello stesso modello. È sufficiente usare la password per ottenere l’accesso remoto sulla porta 23 e quindi eseguire codice arbitrario o registrare video con la fotocamera.

I ricercatori hanno inoltre scoperto che la comunicazione tra il feeder e il server avviene in chiaro. Il modello esaminato supporta i comandi vocali di Alexa. Le credenziali (username e password) per impostare il broker MQTT (Message Queuing Telemetry Transport), che riceve ed elabora i comandi, sono scritte nel file eseguibile. Un malintenzionato potrebbe intercettare i comandi e prendere il controllo del dispositivo.

Un’altra grave vulnerabilità è l’invio delle registrazioni video al cloud tramite connessione HTTP. Quindi sarebbe possibile intercettare le registrazioni private all’interno dell’abitazione. Infine, anche la procedura di aggiornamento è vulnerabile, in quanto viene usata una connessone HTTP. Un cybercriminale potrebbe intercettare i dati e iniettare codice infetto nel firmware. I ricercatori hanno contattato sette volte il produttore cinese senza ottenere una risposta.

Fonte: Kaspersky

Pubblicato il 22 giu 2023

Link copiato negli appunti

Ti potrebbe interessare

Basta telemarketing: ecco la soluzione che mette fine alle chiamate moleste

Basta telemarketing: ecco la soluzione che mette fine alle chiamate moleste
Come Proteggere dagli Hacker Cellulare e PC

Come Proteggere dagli Hacker Cellulare e PC
Stop al telemarketing con Incogni: il tuo scudo a soli 7,49$/mese

Stop al telemarketing con Incogni: il tuo scudo a soli 7,49$/mese
Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli

Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli
Basta telemarketing: ecco la soluzione che mette fine alle chiamate moleste

Basta telemarketing: ecco la soluzione che mette fine alle chiamate moleste
Come Proteggere dagli Hacker Cellulare e PC

Come Proteggere dagli Hacker Cellulare e PC
Stop al telemarketing con Incogni: il tuo scudo a soli 7,49$/mese

Stop al telemarketing con Incogni: il tuo scudo a soli 7,49$/mese
Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli

Proteggi i tuoi dati personali: scopri chi li usa e come rimuoverli
Luca Colantuoni
Pubblicato il
22 giu 2023
Link copiato negli appunti