I ricercatori di Kaspersky Lab hanno scoperto diverse vulnerabilità di sicurezza in popolari videocamere smart spesso usate come baby monitor o per la videosorveglianza in casa o in ufficio.
Secondo i ricercatori, le vulnerabilità scoperte potrebbero consentire ai cyber criminali di ottenere l’accesso remoto ai feed video e audio della videocamera, disattivare da remoto questi dispositivi, eseguire arbitrariamente codice nocivo e altro ancora.
Le videocamere smart moderne includono numerose funzionalità, offrendo agli utenti molte opportunità: possono essere usate come baby monitor o come sistemi di sorveglianza per scoprire gli intrusi in casa o in ufficio. Ma sono abbastanza sicure? Cosa accadrebbe se le videocamere smart iniziassero a spiare gli utenti invece di proteggere le loro case?
Analisi precedentemente condotte da altri ricercatori di sicurezza hanno dimostrato che le videocamere smart tendono a contenere vulnerabilità di sicurezza di diversi livelli di gravità. Tuttavia, l’ultima ricerca degli esperti di Kaspersky Lab ha svelato qualcosa di incredibile: è stato scoperto che non un solo tipo ma un’intera gamma di videocamere smart è vulnerabile a diversi attacchi remoti estremamente pericolosi. Le vulnerabilità sono dovute alla progettazione non sicura del Sistema basato sul cloud, inizialmente pensato per consentire ai possessori delle videocamere di accedere ai video dai propri dispositivi.
Sfruttando queste vulnerabilità, i cyber criminali potrebbero condurre i seguenti attacchi:
- Accedere ai feed video e audio di qualsiasi videocamera connessa al servizio cloud vulnerabile;
- Ottenere l’accesso di root da remoto e usare una videocamera come entry-point per ulteriori attacchi ad altri dispositivi connessi sia a network locali sia esterni;
- Uploadare ed eseguire da remoto codice nocivo sulle videocamere;
- Rubare dati personali come gli account social degli utenti e le informazioni usate per inviare notifiche;
- “Brickare” da remoto le videocamere vulnerabili.
In seguito alla scoperta, i ricercatori di Kaspersky Lab hanno contattato e riferito la vulnerabilità a Hanwha Techwin, il produttore delle videocamere vulnerabili. Secondo quanto riportato dal produttore, al momento della pubblicazione, alcune vulnerabilità sono già state risolte e le restanti lo saranno presto.
Tutti questi attacchi erano resi possibili poiché le videocamere interagivano con il servizio cloud in modo insicuro e facilmente soggetto a interferenze. Gli esperti hanno inoltre scoperto che l’architettura stessa del servizio cloud era vulnerabile a interferenze esterne.
È importante sottolineare come questi attacchi fossero possibili solamente possedendo il numero seriale della videocamera. Tuttavia, è relativamente semplice scoprire il modo in cui vengono generati i numeri seriali attraverso semplici attacchi forza bruta: il sistema di generazione del codice seriale non aveva protezione da questo tipo di attacchi.
Durante la loro indagine, gli esperti di Kaspersky Lab sono stati in grado di identificare quasi 2.000 videocamere vulnerabili online. Tuttavia, si tratta solamente delle videocamere con un proprio indirizzo IP, quindi direttamente disponibili su internet. Il numero reale di dispositivi vulnerabili celati da router e firewall potrebbe essere significativamente superiore.
Inoltre, i ricercatori hanno scoperto una funzionalità non documentata che potrebbe essere utilizzata dal produttore per il collaudo finale. Tuttavia, potrebbe venire sfruttata dai cyber criminali per inviare segnali sbagliati a una qualsiasi videocamera o cambiare un comando ad essa inviato. Questa stessa funzionalità è stata scoperta essere vulnerabile: potrebbe venire ulteriormente sfruttata per attacchi di buffer overflow, che possono portare allo shutdown della videocamera. Il vendor ha risolto la vulnerabilità e rimosso questa funzionalità.
“Il problema degli attuali dispositivi IoT è che sia i clienti sia i vendor pensano erroneamente che, installando il dispositivo nel proprio network e separandolo da internet grazie a un router, la maggior parte dei problemi di sicurezza vengano risolti – o che almeno la gravità degli attuali problemi venga significativamente ridotta. In molti casi è vero: prima di sfruttare le vulnerabilità di sicurezza dei dispositivi all’interno del network preso di mira, è necessario ottenere l’accesso al router. Tuttavia, la nostra ricerca ha dimostrato che potrebbe non essere sempre così: le videocamere analizzate erano in grado di comunicare con il mondo esterno solo attraverso un servizio cloud, che si è rivelato completamente vulnerabile”, ha commento Vladimir Dashchenko, Head of Vulnerabilities Research Group del Kaspersky Lab ICS CERT. “L’aspetto interessante è che oltre ai vettori d’attacco precedentemente descritti, come le infezioni malware e le botnet, abbiamo scoperto che le videocamere potrebbero essere utilizzate anche per il mining. Il mining IoT è infatti un trend emergente dovuto alla crescente diffusione dei dispositivi IoT, che non è destinata a fermarsi”, ha aggiunto.
Dichiarazione di Hanwha Techwin: “La sicurezza dei nostri clienti è la nostra priorità. Abbiamo già risolto le vulnerabilità delle videocamere, inclusi l’upload e l’esecuzione da remoto di codice nocivo. Abbiamo rilasciato l’aggiornamento del firmware, disponibile per tutti I nostri clienti. Alcune vulnerabilità legate al cloud sono state riconosciute e verranno presto risolte”.
Per la propria sicurezza, Kaspersky Lab consiglia fortemente agli utenti di adottare le seguenti misure:
- Cambiare sempre la password di default con una password complessa e modificarla regolarmente.
- Informarsi sulle vulnerabilità di sicurezza dei dispositivi connessi prima di acquistare un dispositivo smart per la propria casa o l’ufficio. Le informazioni sulle vulnerabilità scoperte e risolte sono solitamente facilmente reperibili online.
Kaspersky Lab invita i produttori a migliorare la propria sicurezza informatica e sottolinea l’importanza di garantire la comprensione e la valutazione delle minacce, così come lo sviluppo di un ambiente secure-by-design. L’azienda collabora attivamente con i vendor e riporta tutte le vulnerabilità scoperte.