Smart pet feeder usati come tool di spionaggio
Topic
Approfondimenti
Trending
tutti

Smart pet feeder usati come tool di spionaggio

Negli smart pet feeder di Dogness sono presenti varie vulnerabilità che possono essere sfruttate per rubare dati e registrare video con la fotocamera.
Smart pet feeder usati come tool di spionaggio
Sicurezza Antivirus
Negli smart pet feeder di Dogness sono presenti varie vulnerabilità che possono essere sfruttate per rubare dati e registrare video con la fotocamera.
Amazon

È noto che i dispositivi IoT sono molto “popolari” tra i cybercriminali, in quanto i produttori trascurano spesso la sicurezza. I ricercatori di Kaspersky hanno scoperto che uno smart pet feeder di Dogness può essere utilizzato come strumento di sorveglianza remota o per infettare altri dispositivi collegati alla stessa rete locale.

Smart pet feeder per attività di spionaggio

Gli smart pet feeder sono connessi ad Internet tramite WiFi e possono essere controllati tramite app. Oltre ad impostare la giusta quantità di cibo per cani e gatti, i proprietari possono vedere e comunicare con l’animale domestico attraverso microfono, altoparlante e fotocamera. La comunicazione tra smart pet feeder e app avviene mediante cloud server.

Analizzando il codice di uno smart pet feeder di Dogness, gli esperti di Kaspersky hanno individuato diverse vulnerabilità. Una delle più gravi è presente nel server Telnet. Le credenziali dell’account root possono essere facilmente estratte dal firmware. Essendo “hard-coded”, la password è la stessa per tutti i dispositivi dello stesso modello. È sufficiente usare la password per ottenere l’accesso remoto sulla porta 23 e quindi eseguire codice arbitrario o registrare video con la fotocamera.

I ricercatori hanno inoltre scoperto che la comunicazione tra il feeder e il server avviene in chiaro. Il modello esaminato supporta i comandi vocali di Alexa. Le credenziali (username e password) per impostare il broker MQTT (Message Queuing Telemetry Transport), che riceve ed elabora i comandi, sono scritte nel file eseguibile. Un malintenzionato potrebbe intercettare i comandi e prendere il controllo del dispositivo.

Un’altra grave vulnerabilità è l’invio delle registrazioni video al cloud tramite connessione HTTP. Quindi sarebbe possibile intercettare le registrazioni private all’interno dell’abitazione. Infine, anche la procedura di aggiornamento è vulnerabile, in quanto viene usata una connessone HTTP. Un cybercriminale potrebbe intercettare i dati e iniettare codice infetto nel firmware. I ricercatori hanno contattato sette volte il produttore cinese senza ottenere una risposta.

Fonte: Kaspersky

Pubblicato il 22 giu 2023

Link copiato negli appunti

Ti potrebbe interessare

Avast Premium Security: proteggi 10 device a meno di 50€/anno

Avast Premium Security: proteggi 10 device a meno di 50€/anno
Stufo di chiamate spam e truffe online? Proteggiti con Incogni!

Stufo di chiamate spam e truffe online? Proteggiti con Incogni!
Proteggiti con Norton 360 Deluxe: hai un anno in sconto al 66%

Proteggiti con Norton 360 Deluxe: hai un anno in sconto al 66%
Norton 360 Premium 2024: licenza per 10 dispositivi in clamoroso sconto (-70%)

Norton 360 Premium 2024: licenza per 10 dispositivi in clamoroso sconto (-70%)
Avast Premium Security: proteggi 10 device a meno di 50€/anno

Avast Premium Security: proteggi 10 device a meno di 50€/anno
Stufo di chiamate spam e truffe online? Proteggiti con Incogni!

Stufo di chiamate spam e truffe online? Proteggiti con Incogni!
Proteggiti con Norton 360 Deluxe: hai un anno in sconto al 66%

Proteggiti con Norton 360 Deluxe: hai un anno in sconto al 66%
Norton 360 Premium 2024: licenza per 10 dispositivi in clamoroso sconto (-70%)

Norton 360 Premium 2024: licenza per 10 dispositivi in clamoroso sconto (-70%)
Luca Colantuoni
Pubblicato il
22 giu 2023
Link copiato negli appunti