Ethische Grenzen in der unabhängigen Sicherheitsforschung: Eine umfassende Analyse des Consumer-Pet-Tracking-Ökosystems
research
hardware
IoT
GPS-Tracker für Haustiere sammeln weit mehr Daten über ihre Besitzer, als den meisten bewusst ist – von Tagesabläufen bis hin zu Wohnadressen. In diesem Beitrag untersuchen Gerhard Hechenberger und Bernhard Gründling vom SEC Consult Vulnerability Lab die Hardware- und Software-Sicherheit von vier gängigen GPS-Trackern auf dem europäischen Markt, analysieren die physischen und softwareseitigen Angriffsflächen und stellen eine Methodik vor, wie diese Art von Forschung ethisch korrekt durchgeführt werden kann. Ausnutzbare Schwachstellen wurden keine gefunden, aber die Komplexität der Geräte und die Datenschutzimplikationen permanenter Standortverfolgung verdienen mehr Aufmerksamkeit – insbesondere mit dem bevorstehenden EU Cyber Resilience Act.
Bei dieser Untersuchung kamen keine Hunde zu Schaden.
Dieser Blogbeitrag wurde vom technischen Forschungsteam bestehend aus Gerhard Hechenberger und Bernhard Gründling des SEC Consult Vulnerability Lab erstellt, mit Projektkoordination durch Adriane Würfl, um eine Grundlage für ethische Hacking-Praktiken im Bereich Consumer-IoT zu schaffen. Ein besonderer Dank gilt Thea, deren tägliche Spaziergänge die realen GPS-Tracking-Daten lieferten, die diese Forschung erst ermöglicht haben. Die Ergebnisse spiegeln den Zustand der Geräte zum Zeitpunkt der Analyse wider.
Über den Autor
Bernhard Gründling SEC Consult Senior Security Consultant
Bernhard Gründling ist Senior Security Consultant bei SEC Consult. Als Mitglied des SEC Consult Vulnerability Lab forscht er an Sicherheitslücken in Produkten und Anwendungen und zeigt dabei reale Sicherheits- und Datenschutzrisiken für Konsumenten auf. Darüber hinaus beschäftigt er sich mit allen Themen rund um IT-Infrastruktur, einschließlich Sicherheitsüberprüfungen von Windows-Systemen, Active Directory und Unix-basierten Systemen.
Gerhard Hechenberger SEC Consult Principal Security Consultant
Gerhard ist Principal Security Consultant bei SEC Consult und spezialisiert auf Embedded Systems sowie OT-Sicherheit. Er arbeitet im SEC Consult Hardware Labor in Wien. Seine Haupttätigkeit umfasst die Sicherheitsbewertung von Embedded Systems, IoT/OT-Geräten und OT-Netzwerken zur Aufdeckung von Schwachstellen. Er hält mehrere IT-Sicherheitszertifikate und veröffentlichte zahlreiche Security Advisories sowie Blogbeiträge.
Wir verwenden Cookies, um Ihnen ein perfektes Besuchserlebnis zu bieten. Dazu zählen Cookies, die für den Betrieb der Seite und für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, sowie solche, die lediglich zu anonymen Statistikzwecken, für Komforteinstellungen oder zur Anzeige personalisierter Inhalte genutzt werden. Entscheiden Sie selbst, welche Kategorien Sie zulassen möchten. Bitte beachten Sie, dass auf Basis Ihrer Einstellungen womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
