I cyber criminali possono accedere ai feed video e audio, disattivare i dispositivi, eseguire codice nocivo e altro ancora

Grazie alle loro numerose funzionalità, le videocamere smart moderne offrono agli utenti molte opportunità: possono essere usate come baby monitor o come sistemi di sorveglianza per scoprire gli intrusi in casa o in ufficio. Ma sono abbastanza sicure? Cosa accadrebbe se le videocamere smart iniziassero a spiare gli utenti invece di proteggere le loro case?

Analisi precedentemente condotte hanno già dimostrato che le videocamere smart tendono a contenere vulnerabilità di sicurezza di diversi livelli di gravità. Una recente ricerca ha però svelato qualcosa di più: non un solo tipo, ma un’intera gamma di videocamere smart è vulnerabile a diversi attacchi remoti estremamente pericolosi. Le vulnerabilità sono dovute alla progettazione non sicura del Sistema basato sul cloud, inizialmente pensato per consentire ai possessori delle videocamere di accedere ai video dai propri dispositivi.

Sfruttando queste vulnerabilità, i cyber criminali potrebbero condurre i seguenti attacchi:

  • Accedere ai feed video e audio di qualsiasi videocamera connessa al servizio cloud vulnerabile;
  • Ottenere l’accesso di root da remoto e usare una videocamera come entry-point per ulteriori attacchi ad altri dispositivi connessi sia a network locali sia esterni;
  • Caricare ed eseguire da remoto codice nocivo sulle videocamere;
  • Rubare dati personali come gli account social degli utenti e le informazioni usate per inviare notifiche;
  • “Brickare” da remoto le videocamere vulnerabili.

In seguito alla scoperta, i ricercatori hanno contattato e riferito la vulnerabilità a Hanwha Techwin, il produttore delle videocamere vulnerabili. Secondo quanto riportato dal produttore, al momento della pubblicazione, alcune vulnerabilità sono già state risolte e le restanti lo saranno presto.

Tutti questi attacchi erano resi possibili poiché le videocamere interagivano con il servizio cloud in modo insicuro e facilmente soggetto a interferenze. Gli esperti hanno inoltre scoperto che l’architettura stessa del servizio cloud era vulnerabile a interferenze esterne.

È importante sottolineare come questi attacchi fossero possibili solamente possedendo il numero seriale della videocamera. Tuttavia, è relativamente semplice scoprire il modo in cui vengono generati i numeri seriali attraverso semplici attacchi forza bruta: il sistema di generazione del codice seriale non aveva protezione da questo tipo di attacchi.

Durante la loro indagine, gli esperti sono stati in grado di identificare quasi 2.000 videocamere vulnerabili online. Tuttavia, si tratta solamente delle videocamere con un proprio indirizzo IP, quindi direttamente disponibili su internet. Il numero reale di dispositivi vulnerabili celati da router e firewall potrebbe essere significativamente superiore.

Inoltre, i ricercatori hanno scoperto una funzionalità non documentata che potrebbe essere utilizzata dal produttore per il collaudo finale. Tuttavia, potrebbe venire sfruttata dai cyber criminali per inviare segnali sbagliati a una qualsiasi videocamera o cambiare un comando ad essa inviato. Questa stessa funzionalità è stata scoperta essere vulnerabile: potrebbe venire ulteriormente sfruttata per attacchi di buffer overflow, che possono portare allo shutdown della videocamera. Il vendor ha risolto la vulnerabilità e rimosso questa funzionalità.

“Il problema degli attuali dispositivi IoT è che sia i clienti sia i vendor pensano erroneamente che, installando il dispositivo nel proprio network e separandolo da internet grazie a un router, la maggior parte dei problemi di sicurezza vengano risolti – o che almeno la gravità degli attuali problemi venga significativamente ridotta. In molti casi è vero: prima di sfruttare le vulnerabilità di sicurezza dei dispositivi all’interno del network preso di mira, è necessario ottenere l’accesso al router. Tuttavia, la nostra ricerca ha dimostrato che potrebbe non essere sempre così: le videocamere analizzate erano in grado di comunicare con il mondo esterno solo attraverso un servizio cloud, che si è rivelato completamente vulnerabile”, ha commento Vladimir Dashchenko, Head of Vulnerabilities Research Group del Kaspersky Lab ICS CERT. “L’aspetto interessante è che oltre ai vettori d’attacco precedentemente descritti, come le infezioni malware e le botnet, abbiamo scoperto che le videocamere potrebbero essere utilizzate anche per il mining. Il mining IoT è infatti un trend emergente dovuto alla crescente diffusione dei dispositivi IoT, che non è destinata a fermarsi”, ha aggiunto.

Per la propria sicurezza, gli esperti consigliano fortemente agli utenti di adottare le seguenti misure:

  • Cambiare sempre la password di default con una password complessa e modificarla regolarmente.
  • Informarsi sulle vulnerabilità di sicurezza dei dispositivi connessi prima di acquistare un dispositivo smart per la propria casa o l’ufficio. Le informazioni sulle vulnerabilità scoperte e risolte sono solitamente facilmente reperibili online.
  • Per i produttori: migliorare la propria sicurezza informatica e sottolinea l’importanza di garantire la comprensione e la valutazione delle minacce, così come lo sviluppo di un ambiente secure-by-design. L’azienda collabora attivamente con i vendor e riporta tutte le vulnerabilità scoperte.