漏洞可致宠物“保镖”变“恶魔”

随着人类精神需求的变化，豢养宠物现象在日常生活中变得愈发常见，加上科技的发展，用以跟踪宠物的智能设备也应运而生。然而根据最近的一篇分析，这些宠物“保镖”漏洞不少，一旦被恶意利用，极有可能暴露宠物位置及主人信息。

卡巴斯基实验室对多个国外流行的宠物跟踪设备进行了安全评估，评估中涉及的设备有：

Kippy Vita（GPS追踪器）

LINK AKC Smart Dog Collar（智能狗项圈）

Nuzzle Pet Activity and GPS Tracker（GPS追踪项圈）

TrackR bravo and pixel（蓝牙追踪器）

Tractive GPS Pet Tracker（牵引GPS追踪器）

Weenect WE301（GPS追踪器）

Whistle 3 GPS Pet Tracker & Activity Monitor（口哨GPS追踪器）

经过卡巴斯基实验室的分析，恶意黑客可以利用这些产品及其相应移动应用程序中发现的缺陷来禁用设备的服务，使其接收并执行来自未授权方的命令或者通过中间人攻击的方法拦截传输信息。这些设备通常依靠GPS，Wi-Fi和/或蓝牙低功耗（BLE）的组合运行，卡巴斯基认为后因缺乏身份验证、服务可用性的特点，是“设备防护装甲中的弱点”。令人担心的是——测评设备中，只有一个产品与配套使用的Android应用程序验证了其服务器的证书。

最终评估结果可能会让设备主人惶恐：Nuzzle Pet Activity、GPS Tracker和Whistle 3 GPS Pet Tracker & ActivityMonitor均有四个漏洞，TrackR有两个漏洞在Bravo和像素设备中，Kippy Vita和Link AKC Smart Dog Collar各有一个漏洞 。（Weenect WE301和Tractive GPS Pet Tracker 虽有小问题，但未分配任何官方的CVE标识符。）

评估检查出的漏洞或缺陷包括：应用程序将敏感数据（如凭证和身份验证令牌）传输到服务器或logcat;应用程序无法验证服务器的HTTPS证书; 以未加密的形式存储授权令牌; 授权和访问控制缺乏认证;轻松绕过完整性控制，允许设备与任意任意智能手机接口; 接收并执行不包含用户标识的命令。

令人欣慰的是，至漏洞公布时，评估中所揭示的大部分漏洞已得到修复，多家厂商对卡巴斯基表示感谢，回应会继续加强设备安全性。