I dispositivi smart sono molto popolari, ma non sono altrettanto sicuri: questa è la triste realtà. In uno dei nostri recenti post, abbiamo parlato delle minacce, imputabili alla mancanza di sicurezza, che finiscono per creare problemi a molti utenti di dispositivi domestici connessi. Il nostro post di oggi vuole far luce su di una nuova scoperta fatta dai nostri esperti: una videocamera smart ha tante vulnerabilità quante funzionalità descritte nel suo manuale di istruzioni.
Ebbene sì, ben 13 vulnerabilità! Potete trovare la lista completa nel report di Securelist. Ora cerchiamo di capire cosa potrebbe significare tutto questo per chi possiede una di questa videocamere.
Abbiamo analizzato il modello Hanwha SNH-V6410PN di Techwin, vecchia società sussidiaria di Samsung. Nonostante la compagnia abbia cambiato titolarità un paio d’anni fa, fino alla fine del 2017 ha prodotto queste webcam per conto di Samsung e usando il suo marchio e di fatto è ancora possibile trovarne qualcuna.
Questa videocamera è stata commercializzata come uno strumento di monitoraggio adatto a qualsiasi scopo, perfetto per stanze di bambini, aree domestiche in generale e persino per piccoli uffici. Può registrare immagini nel buio, girarsi per seguire un oggetto in movimento, trasmettere immagini a uno smartphone o tablet e riprodurre un suono attraverso un altoparlante incorporato.
I proprietari possono controllaretutte le funzioni della videocamera attraverso un servizio cloud a cui si può accedere sia da computer fisso, che da dispositivo mobile. Secondo il team di ricerca Kaspersky Lab ICS CERT, le vulnerabilità della videocamera permettono ad altri di controllarla. Tutto questo offre ai criminali numerose opportunità.
Occhio non vede…
In primo luogo, un estraneo potrebbe sostituire il video che viene inviato all’utente con un altro, proprio come nei film dove i cattivi (o i buoni) ingannano gli addetti alla sicurezza con un filmato di una settimana prima, mentre penetrano in una proprietà. Non più solo un’esclusiva del cinema, ora questo trucco può essere utilizzato nella vita reale dai criminali che cercano di entrare in una casa o nell’edificio di un ufficio protetto da videocamere intelligenti.
La stessa videocamera può aiutare i criminali ad ottenere le informazioni di cui hanno bisogno per poter entrare. I nostri esperti sono stati in grado di intercettare il video, usare il canale audio e ottenere le informazioni di localizzazione. Questo significa che i criminali potranno sapere dove si trova il dispositivo, studiare le abitudini dei residenti o degli impiegati, e pianificare con attenzione l’invasione, il tutto in remoto, attraverso Internet.
Occhi elettronici che spiano
Anche escludendo le ipotesi più drammatiche, sono comunque molte le possibilità a disposizione degli hacker. Come molti altri dispositivi intelligenti, una videocamera smart può condividere i dati con i social e con altri servizi online e permettere così al proprietario di ricevere notifiche circa quello che sta succedendo nella zona che si sta sorvegliando. Una volta preso il controllo, gli hacker non solo possono metter mano sui dati del vostro account, ma anche usare il dispositivo compromesso per inviare messaggi spam o phishing ai vostri amici.
E per nascondere le loro tracce, o semplicemente per divertirsi, gli hacker possono anche danneggiare completamente la videocamera.
Naturalmente, i criminali possono anche spiare i proprietari della webcam quando pensano di essere soli. Agli hacker piace fare questi simpatici scherzetti continuamente.
La videocamera può anche riprodurre il suono attraverso l’altoparlante incorporato. Abbiamo preferito non azzardare ipotesi troppo “creative”, ma pensate a uno sconosciuto in grado di parlare attraverso il sistema di videosorveglianza collocato all’interno della stanza di un bambino. Che questi apparecchi siano connessi a Internet non sembra più un vantaggio, non è vero?
Attacco cyberzombie
Un paio di anni fa, il mondo ha scoperto il grande potenziale delle botnet IoT: migliaia di dispositivi smart sotto il controllo dei criminali avevano creato problemi a numerosi servizi di Internet. Le videocamere intelligenti Hanwha di Techwin non sono immuni agli attacchi. I criminali possono usar le centinaia o migliaia di videocamere hackerate per mettere a punto attacchi DDoS, o per processi di mining, o per ordinar loro di infettare altri dispositivi della stessa rete (o tutto nello stesso momento).
Un triste futuro?
In fatti, oltre alle videocamere per l’ufficio e per la casa, Hanwha fabbrica anche sistemi CCTV industriali. Altri oggetti interessanti che fanno parte del portfolio del produttore sono veicoli di artiglieria a propulsione autonoma e torrette armate con mitragliatrici robotiche. Speriamo che la sicurezza sia la priorità nel caso di questi dispositivi.
Abbiamo riferito al produttore tutti i problemi individuati all’interno del firmware e del servizio cloud di Hanwha SNH-V6410PN attraverso il quale l’unità è controllato, e il fabbricante ha già risolto la maggiorparte dei problemi.
Tuttavia, fino a quando i fabbricanti di dispositivi intelligenti non inizieranno a prendere sul serio la protezione dei loro apparecchi (e fin dalle prime fasi del processo di sviluppo del prodotto), noi vi suggeriamo di assumere il controllo della vostra propria sicurezza.
- Prima di acquistare un dispositivo smart, sia che si tratti di un baby-monitor controllato via smartphone o di un apparecchio completamente diverso, pensateci su due volte! Se ne avete davvero bisogno, cercate su Internet qualsiasi informazione, controllate se ci sono stati tentativi di hackeraggio o se hanno vulnerabilità conosciute.
- Informatevi il più possibile sui dispositivi che possedete e riducete il rischio di attacco. Kaspersky Lab ha lanciato un’app che si chiama Kaspersky IoT Scanner, una soluzione per proteggere gratuitamente i dispositivi smart. Controllerà la vostra rete Wi-Fi e vi dirà se i dispositivi connessi sono sicuri o no.
*Aggiornamento: il prodotto descritto in questo post non è più disponibile.