L'insicurezza delle telecamere di sicurezza

I campanelli intelligenti, progettati per consentire ai proprietari di casa di tenere d'occhio i visitatori indesiderati attraverso una videocamera anche quando non si trovano nella propria abitazione, sono diventati molto popolari negli ultimi anni.

Facendo un giro su Amazon o su altri E-commerce è facile non accorgersi quanti modelli siano disponibili e in vendita al momento.

Ma un recente studio che arriva dagli Stati Uniti, suggerisce che questi potrebbero causare più danni che benefici alla sicurezza delle nostre case rispetto alle loro alternative analogiche come i cari vecchi catenacci per porte.

Infatti, a quanto riporta la ricerca, questi campanelli digitali sono pieni di potenziali vulnerabilità di sicurezza informatica che vanno dalle credenziali di default (per esempio user: user e password: 1234) ai problemi di autenticazione, fino alla spedizione di dispositivi con bug critici mai risolti.

Nel mirino in particolare questi tre marchi: Victure, Qihoo e Accfly; tutti disponibili anche in Italia…

Nel complesso, i problemi che sono stati osservati durante questa ricerca hanno delineato un cattivo approccio allo sviluppo di dispositivi veramente sicuri per la domotica.

Insomma, ci sono ancora dispositivi che vengono sviluppati, spediti e venduti con una serie di problemi mai risolti, per non parlare di quelli che sono semplici copie contraffatte che oltre ad essere ancora meno sicuri di per sé, si portano dietro anche i problemi degli orginiali!

Assenti dall'analisi sono i nomi del leader del mercato Ring Video Doorbell e dei pochi altri grandi player come Nest, Vivint e Remo. Tuttavia, lo studio è stato pubblicato mentre possiamo osservare la vera e propria "marea" di campanelli intelligenti a basso prezzo che sono stati introdotti nel mercato.

La portata dei problemi scoperti comprendeva funzioni non documentate che, se scoperte, potevano essere sfruttate dai Criminal hacker; altri problemi riscontrati erano legati alle applicazioni mobile utilizzate per accedere ai campanelli e alle vulnerabilità dell'hardware stesso.

I Campanelli "pericolosi"

I modelli specifici esaminati sono stati il VD300 di Victure, lo Smart Video Doorbell V5 di Accfly e il 360 D819 Smart Video Doorbell di Qihoo.

È stato esaminato anche un altro dispositivo di campanello, identificato solo come "Smart WiFi Doorbell" e che utilizzava hardware di fabbricazione YinXx.

Inoltre, è stato testato un modello non specificato di "HD Wi-Fi Video Doorbell V5".

Per ultimo, è stato testato un campanello intelligente identificato solo come XF-IP007H.

Diverse marche utilizzano "XF-IP007H" nei loro nomi di prodotto, tra cui Extaum, Docooler e Tickas. Questi campanelli, come tutti quelli testati da, sono venduti a prezzi competitivi e disponibili attraverso R-commerce come Amazon e altri popolari rivenditori online.

I ricercatori hanno detto che la maggior parte dei dispositivi analizzati erano cloni del campanello Victure, che aveva una serie di problemi di sicurezza preesistenti ad esso associati.

Funzioni "nascoste" e indesiderate

Nell'analisi condotta sono emerse anche una serie di funzioni che, se sfruttate dai Criminal Hacker, potrebbero portare a conseguenze tutt'altro che desiderate.

Per esempio, sul campanello a marchio Victure è stato trovato un percorso di codici che portava direttamente alla possibilità di accedere alla videocamera del dispositivo grazie a delle password "standard" impostate in fabbrica e mai cambiate.

Come se non bastasse, lo "scassinare" digitale tramite l'applicazione mobile utilizzata per controllare i campanelli è stato un gioco da ragazzi, grazie alla comunicazione non criptata che le applicazioni di questi device utilizzano.

La mancanza di crittografia potrebbe permettere di "vedere" informazioni sensibili, come nome utente e password, nelle comunicazioni di dati tra il dispositivo mobile e i servizi della "serratura" digitale.

Un altro vettore di attacco discusso è stato l'abuso dei codici QR, un tipo di codice a barre basato su immagini per ottenere rapidamente informazioni supplementari.

Molti dei campanelli digitali, nel tentativo di semplificare l'accesso, hanno permesso ai clienti di utilizzare la fotocamera del loro telefono per scattare una foto di un codice QR, che configura l'app dell'utente con le credenziali corrette.

Alcune persone usano i loro smartphone per fare screenshot e la maggior parte degli smartphone moderni fa anche il backup automatico delle foto.

In questo scenario, un avversario con accesso al backup del rullino della fotocamera di un utente avrebbe anche accesso ai codici QR.

L'aggressore può quindi decodificare rapidamente il codice QR ed estrarre il codice di sicurezza in chiaro e la password per la rete Wi-Fi!

Problemi più "fisici"

I ricercatori hanno anche sottolineato che spesso l'hardware fisico del campanello non è montato in modo sicuro e può essere facilmente rimosso per essere manomesso.

Il metodo principale per fissare questi dispositivi, infatti, è quello di utilizzare una staffa di montaggio che viene incollata o avvitata su una superficie piana.

Potrebbe essere facile per un aggressore sganciare rapidamente il campanello dalla staffa e rubare il dispositivo in meno di 10 secondi. Alcuni dispositivi non avevano neppure alcun metodo per avvisare l'utente fino a quando non fosse stato troppo tardi!

Solo un campanello digitale, tra quelli testati, usava un innesco a pressione che, se manomesso, avrebbe fatto scattare l'allarme.

Disinnestando l'hardware, l'aggressore potrebbe rubare il video catturato dal campanello e memorizzato su una scheda SD per determinare il comportamento tipico degli occupanti, per poi rimettere il device al suo posto, senza che nessuno si accorga di nulla.

Inoltre, il firmware potrebbe essere estratto e utilizzato per identificare il Wi-Fi utilizzato e la sua password per accedere a una rete bersaglio.

Secondo i ricercatori, si può confermare in modo conclusivo che la maggior parte dei dispositivi analizzati erano cloni del campanello della Victure che aveva già una serie di problemi di sicurezza ad esso associati.

C'erano anche prove che dimostravano che le applicazioni mobili che venivano utilizzate da più campanelli clonati erano cloni l'una dell'altra.

Insomma una tempesta perfetta di bug e vulnerabilità che si sono diffuse a macchia d'olio senza che nessuno se ne accorgesse…

Questa storia è l'ennesima riprova di come i dispositivi IoT – o smart o intelligenti, che dir si voglia, insomma – siano tutt'altro che la "rivoluzione della comodità", ma che abbiano più di qualche insidia nascosta.

Se siete state pensando di acquistare dei dispositivi IoT che vi renderanno la vita più facile e più conveniente, ci sono una serie di regole da seguire per evitare situazioni spiacevoli:

• Prima di acquistare qualsiasi cosa, fate sempre le vostre ricerche. Leggete il più possibile sul dispositivo che state pensando di acquistare, prendete in considerazione la possibilità di leggere le recensioni degli utenti e vedete se ci si può fidare di loro. Cercate su Google il nome del marchio e anche il nome del modello, insieme a "vulnerabilità di sicurezza" o una combinazione di parole simili. Se ci sono stati problemi di sicurezza, confermate che sono siano state risolte e che non riguardino più il dispositivo.
• Astenersi dall'acquistare dispositivi non di marca, se non è possibile verificare in che modo i dati sono protetti o dove vengono caricati. Un piccolo risparmio sul prezzo di listino potrebbe avere un costo enormemente maggiore in futuro…come il furto dei vostri dati.
• Una volta acquistato un dispositivo, aggiornate sempre il suo software alla versione più recente possibile. Se viene rilasciata una patch, installatela immediatamente, in quanto di solito hanno lo scopo di rendere il vostro dispositivo più sicuro.

Non abbassiamo la guardia!