I dispositivi per le case intelligenti sono sempre più richiesti e annoverano tra loro tutta una serie di prodotti elettronici moderni ed efficienti. Bollitori con interfaccia web, ferri da stiro che si spengono a distanza, sistemi di controllo dell’illuminazione intelligente: esiste ogni sorta di prodotto per semplificarci la vita. Tuttavia, la domanda è: questi oggetti sono sicuri? Oltre alla comodità, i dispositivi dell’Internet delle cose (IoT) comportano nuovi rischi per la sicurezza e la privacy, ed è raro che passi una settimana senza che venga segnalata una nuova vulnerabilità riscontrata in questo o quel smart gadget. Persino una “lampadina intelligente” può essere usata per hackerare una rete domestica, per non parlare di ciò che si può fare con dispositivi più seri.
Un dispositivo chiave di qualsiasi sistema di sicurezza domestico è una videocamera collegata a Internet. Ne esistono di tutti i tipi: dalle telecamere e baby monitor per controllare i bambini, ai videocampanelli, fino alle sofisticate telecamere motorizzate per la videosorveglianza professionale.
Le telecamere IP, come dice il nome stesso, sono permanentemente online o si collegano regolarmente alla rete e le riprese sono solitamente disponibili attraverso il servizio offerto dal fornitore. L’accesso a questo servizio consente di visionare il flusso video della telecamera da qualsiasi parte del mondo uno si trovi. Oltre a essere comodo, l’alternativa (come una telecamera accessibile solo da una rete locale) difficilmente attirerà i potenziali clienti.
Ma questo solleva una serie di domande: cosa succede se i cybercriminali rubano le credenziali di accesso? Quanto sono sicuri i sistemi di videosorveglianza su cloud? I criminali possono accedere al flusso video senza entrare nel nostro account? In fin dei conti, nel peggiore dei casi, le informazioni altamente sensibili, comprese le immagini e i video della vostra casa, cadrebbero nelle mani sbagliate.
Promesse non mantenute
Tutti questi timori erano ben noti ad Anker quando ha lanciato la propria linea di telecamere IP con il marchio Eufy. Fondata nel 2011, Anker non è nuovo nel settore dell’elettronica. Dopo aver iniziato a produrre caricabatterie e accessori per smartphone e laptop, ha gradualmente creato una gamma completa di dispositivi elettronici portatili per tutti i gusti e le esigenze, compresi i videocitofoni e le telecamere di sicurezza.
In un annuncio sul sito di Eufy, gli sviluppatori della telecamera garantiscono la massima privacy e affermano che non vengono utilizzate tecnologie cloud: tutti i dati sono conservati in una memoria locale sicura. La funzione di videosorveglianza da remoto può essere completamente disattivata, ma se si desidera vedere cosa succede all’interno della casa, la videocamera cripta il flusso video e lo trasmette a un’app per smartphone, l’unico posto in cui potrà essere decriptato. Si tratta della cosiddetta crittografia end-to-end, che significa che nessuno, nemmeno il fornitore, può accedere ai dati.
Un altro aspetto importante è che il sistema di riconoscimento funziona direttamente sul dispositivo stesso. L’intelligenza artificiale integrata in ogni telecamera analizza le riprese senza trasmettere nulla ai server dell’azienda, identifica le persone inquadrate e distingue persino i proprietari e gli inquilini dagli estranei, in modo che il proprietario della telecamera venga avvisato solo se viene visualizzato un volto sconosciuto.
Privacy totale, garantita. Di recente, tuttavia, gli utenti hanno ricevuto una piccola sorpresa: in realtà, le telecamere Eufy funzionano in modo leggermente diverso. Il 23 novembre, l’esperto di sicurezza britannico Paul Moore ha twittato un video in cui accusa Eufy di trasmettere i dati al cloud, anche quando l’opzione è disattivata.
Il video di Moore fornisce una dimostrazione dettagliata del problema, che ha individuato abbastanza facilmente. Dopo aver installato un videocitofono Eufy, Paul si è collegato all’interfaccia web del dispositivo, dove ha analizzato il codice sorgente nel browser e ha dimostrato che la telecamera invia un’immagine al server del fornitore ogni volta che qualcuno appare nell’inquadratura. Ciò significa che almeno una delle garanzie di Eufy (“niente cloud”) non è vera.
Moore ha poi twittato più volte denunciando alcuni gravi problemi che riguardano la sicurezzae dei dati. A quanto pare, la crittografia “affidabile” di Eufy utilizza una chiave fissa identica per tutti gli utenti. Ma non finisce qui: questa chiave è apparsa nel codice di Eufy pubblicato dall’azienda stessa su GitHub. In seguito, il sito tecnologico The Verge, facendo riferimento a Moore e a un altro esperto di sicurezza, ha confermato l’ipotesi peggiore: a quanto pare, chiunque può visualizzare online il flusso video semplicemente collegandosi all’ indirizzo del dispositivo.
Una spiegazione confusa
Va detto che c’è una spiegazione del tutto logica per il primo problema del caricamento dei filmati sul cloud. In teoria, le telecamere Eufy funzionano nel modo seguente: si installa la telecamera in casa e si configura l’app sullo smartphone. Quando qualcuno preme il pulsante Smart Сall o il sistema di riconoscimento vede apparire qualcuno nell’inquadratura, si riceve una notifica sullo smartphone con allegata una foto. L’unico modo per inviare tali notifiche, molto probabilmente, è tramite il cloud. Ma allora perché Eufy ha promesso un servizio senza cloud? Bella domanda!
E se il flusso video fosse accessibile da remoto? The Verge e le sue fonti non hanno svelato i dettagli per paura che la vulnerabilità possa essere sfruttata in modo massivo. Tuttavia, alcuni fatti sono noti: innanzitutto, non viene utilizzata la crittografia promessa per trasmettere il flusso video. In realtà, il flusso non è per nulla crittografato e può essere visualizzato con un normale media player, come VLC. In secondo luogo, per accedere a una determinata telecamera, è necessario conoscere l’URL unico; in altre parole, il suo indirizzo Internet. Ma questi indirizzi sono generati in modo prevedibile: in base al numero di serie del dispositivo stampato direttamente sulla scatola, più la data e l’ora corrente. A questo si aggiunge (per maggiore “sicurezza”) un numero casuale di quattro cifre, facile da forzare con un attacco di forza-bruta. L’unica cosa che salva il proprietario della telecamera da un malintenzionato che conosce il numero di serie del dispositivo è che la telecamera non carica costantemente i dati online. Deve prima essere attivata, ad esempio, premendo il pulsante del campanello, e solo in quel momento un estraneo può connettersi.
Ad Anker, il produttore di Eufy, è stato chiesto di confermare o smentire le accuse, il che non ha fatto altro che confondere ulteriormente la questione. Come hanno osservato The Verge e Ars Technica, gli sviluppatori hanno negato categoricamente l’esistenza di problemi di sicurezza e, quando sono stati interpellati su problemi specifici, hanno rilasciato almeno due dichiarazioni che sono state successivamente smentite.
Inizialmente, l’azienda ha “confermato” che non è possibile guardare i filmati in diretta da una telecamera, ma The Verge ci è riuscito utilizzando due delle telecamere Eufy di sua proprietà. Poi, il fornitore ha ammesso che le riprese del videocitofono vengono inviate ai server dell’azienda, ma solo per poter garantire l’invio delle notifiche allo smartphone, dopodiché le immagini vengono cancellate. Ma anche questo è stato smentito da Moore con un semplice test: dopo aver visualizzato le foto della telecamera nel suo account personale, ha salvato gli URL delle immagini e poi le ha cancellate dal suo telefono. Sebbene le immagini siano scomparse dal suo account personale, Moore è stato in grado di accedervi semplicemente inserendo gli URL salvati nella barra degli indirizzi del browser. L’altro ricercatore sopracitato è andato oltre: dopo aver eseguito un reset completo della videocamera, che ha cancellato tutti i video salvati dal suo account, ha ricollegato il dispositivo al suo account e ha visto… i video teoricamente cancellati!
In generale, nel campo della sicurezza esistono alcuni standard etici comuni, tra cui le modalità di divulgazione delle informazioni sulle vulnerabilità e la risposta dei fornitori. Nel caso di Eufy, però, tutto questo è non è stato rispettato: invece di dare all’azienda la possibilità di risolvere i problemi, i ricercatori hanno immediatamente reso pubbliche le vulnerabilità. Poi, per aggiungere altra benzina al fuoco, l’azienda ha deciso di negare i problemi evidenti. Eufy non ha fornito alcuna prova tecnica per confutare le affermazioni degli esperti indipendenti, mentre l’unico cambio che Moore ha notato dopo i suoi post accusatori è stato che i link ai frame della telecamera, precedentemente mostrati in clear-text nell’HTML, erano stati offuscati. In altre parole, le informazioni vengono ancora inviate al server di Eufy, solo che è diventato più difficile rintracciarle.
Come proteggersi
Il caso Eufy è molto recente e sono necessarie ulteriori ricerche per dimostrare in modo in cui un estraneo può intercettare i filmati di una telecamera IP di un particolare utente o di uno a caso. Tuttavia, esistono casi di problemi di sicurezza ancora più gravi. Ad esempio, nel 2021 è stato scoperto che le telecamere IP del produttore cinese Hikvision contenevano una vulnerabilità critica che consentiva a un utente malintenzionato di ottenere il pieno controllo del dispositivo. È stata rilasciata una patch per risolvere il problema, ma un anno dopo qualsiasi persona curiosa poteva accedere a decine di migliaia di videocamere vulnerabili in tutto il mondo. Purtroppo, i proprietari di questi dispositivi potrebbero non essere nemmeno a conoscenza della vulnerabilità, il che rappresenta la peggiore delle ipotesi.
Quindi, ancora una volta ci troviamo di fronte all’eterna domanda: di chi è la colpa e cosa possiamo fare? Purtroppo il settore IoT non è affatto standardizzato. Non esistono norme generalmente accettate che garantiscano un minimo di sicurezza e i fornitori proteggono i propri dispositivi in base alle risorse disponibili e alle proprie nozioni di sicurezza. Spetta all’utente decidere a quale fornitore affidarsi.
Come sottolinea giustamente Ars Technica, se il dispositivo ha una webcam e un Wi-Fi, prima o poi qualcuno troverà una falla nella sicurezza. È interessante osservare che alcuni dispositivi simili dal punto di vista del design, come le webcam dei computer portatili e degli smartphone, sono molto più protetti: infatti, quando la fotocamera è in uso generalmente si accende un indicatore e le soluzioni di sicurezza monitorano le app e bloccano gli accessi non autorizzati.
Le telecamere di sorveglianza IP, invece, funzionano in modo autonomo, a volte 24 ore su 24, 7 giorni su 7. Purtroppo, fino a quando non sarà disponibile un sistema accettato a livello globale consigliamo ai proprietari di qualsiasi sistema di videosorveglianza di tenere d’occhio le notizie sui problemi di sicurezza dei loro dispositivi, di esaminare attentamente le impostazioni delle telecamere, di disattivare le funzioni cloud non utilizzate e di installare regolarmente gli aggiornamenti. E quando decidete di installare un sistema di videosorveglianza all’interno della vostra casa, valutate tutti i rischi, poiché i danni potenziali derivanti dall’hacking sono enormi.