Le vulnerabilità possono essere sfruttate per compromettere totalmente la telecamera, con un grave impatto sulla privacy dell’utente

Guardzilla

Bitdefender ha scoperto una vulnerabilità nelle videocamere di sicurezza di Guardzilla che può mettere in pericolo la sicurezza degli utenti. A seguito del rilevamento di tale vulnerabilità, avvenuto oltre sei mesi fa, Bitdefender ha contattato Guardzilla, ma senza ottenere risposta.

I fatti

Guardzilla produce telecamere di sicurezza dal monitoraggio discreto, facili da usare e installare a casa. Si tratta di prodotti molto convenienti il ​​cui obiettivo principale è fornire sicurezza fisica contro i furti.

Inoltre, si integrano perfettamente con le reti domestiche e sono facilmente gestibili tramite smartphone e un’app dedicata di Guardzilla. Non ci sono costi aggiuntivi e costi associati al prodotto.

Guardzilla è un prodotto abbastanza popolare nella sua categoria. Secondo le statistiche di Google Play, hanno oltre 100.000 installazioni, oltre 4000 recensioni verificate. Oltre agli utenti Android, c’è una forte comunità Apple che sta usando Guardzilla. La nostra ricerca stima circa 410.000 dispositivi attivati ​​di Guardzilla, che offre un buon suggerimento sulla loro popolarità.

Il problema

Bitdefender ha analizzato Guardzilla Indoor Security Camera dal punto di vista della sicurezza e ha identificato diverse vulnerabilità. Queste vulnerabilità possono essere sfruttate per compromettere totalmente la telecamera, il che si traduce in un grave impatto sulla privacy da parte dell’utente. Le parti criminali possono connettersi da remoto alla telecamera, ottenere pieno accesso per utilizzare il dispositivo e accedere allo streaming video in diretta.

Tipi di attacco

La ricerca di Bitdefender ha identificato tre tipi di attacco, ognuno dei quali offre il pieno controllo della videocamera di Guardzilla:

  1. avere il pieno controllo sulla telecamera manomettendo il servizio di autenticazione Guardzilla e impersonando un utente legittimo. Mediante la bruteforcing di ID account univoci, l’utente malintenzionato può richiedere nomi utente (indirizzi e-mail) e password e modificarli senza alcuna conferma.
  2. ottenere il pieno controllo della telecamera e ottenere l’esecuzione di codice remoto sfruttando un componente di comunicazione cloud
  3. ottenere il pieno controllo del dispositivo impersonando un aggiornamento falso. Conoscendo l’ID utente e la password dei dispositivi (vedere 1), l’utente malintenzionato può ottenere l’accesso al sistema abusando del comando di aggiornamento remoto.