Videocitofoni IoT non sicuri

22. Febbraio 2021
| Non ci sono commenti

Condividi post

I bug del software nei campanelli video IoT possono fornire accesso e controllo non autorizzati. Sviluppatori, produttori e fornitori di piattaforme condividono un comune obbligo di sicurezza. 

I campanelli video fai-da-te, come quelli utilizzati dalle PMI sempre attive, possono essere dirottati dagli hacker. Gli errori nello sviluppo dei sistemi IoT hanno quindi conseguenze inaspettate. I sistemi attaccati possono violare la privacy che dovrebbero proteggere. Solo la collaborazione di esperti di sicurezza, sviluppatori di piattaforme e produttori di prodotti garantisce la sicurezza degli interfoni digitali.

Videocitofoni basati su cloud

Gli utenti parlano con i visitatori alla porta tramite videocitofoni basati su cloud come LifeShield. Puoi anche fare affidamento sulle immagini in diretta da casa che sono disponibili ovunque quando sei fuori casa. Tuttavia, tali offerte IoT sono anche un potenziale bersaglio per i criminali informatici. ADT ha recentemente applicato patch a 1.500 dispositivi per colmare le lacune di sicurezza nei suoi sistemi LifeShield, secondo gli esperti di sicurezza di Bitdefender. Ciò mostra i pericoli attuali di tali dispositivi IoT, la cui sicurezza molto spesso lascia ancora molto a desiderare.

Rischi divulgati nei sistemi IoT

Rivelare la password dell'amministratore della telecamera

La campana si è identificata presso il server centrale tramite il suo indirizzo MAC. La piattaforma cloud ha utilizzato una procedura di base per autenticare la suoneria. Il nome utente era inizialmente "camera0" e la password veniva fornita agli utenti durante la configurazione del dispositivo. In fase di configurazione, il server ha accettato e risposto ai messaggi associati. Ha ignorato l'intestazione dell'autorizzazione perché non è stata assegnata alcuna password. Ma anche dopo che la configurazione è stata completata e il codice di accesso è stato creato, il server ha continuato inizialmente a rispondere alle richieste con dati di accesso errati e quindi ha rivelato gli ultimi dati di accesso noti per il dispositivo: alla fine, gli hacker sono stati in grado di utilizzare solo il MAC della fotocamera address per creare la password dell'amministratore per questa esperienza con il campanello.

Acquisizione ostile sul web

Bogdan Botezatu, responsabile dell'analisi delle minacce di Bitdefender

Bogdan Botezatu, responsabile dell'analisi delle minacce di Bitdefender

Un campanello video intelligente basato su cloud è un'interfaccia per Internet. Alcune delle funzioni del server Web, come l'acquisizione di un'istantanea o la ricerca di informazioni, non richiedevano l'autenticazione. L'interfaccia amministratore era protetta da una password, ma questa poteva essere rilevata come descritto nel paragrafo precedente. Con queste credenziali e attraverso l'interfaccia, gli hacker potrebbero emettere comandi e ottenere l'accesso a livello di root tramite l'iniezione di comandi.

Apri i server RTSP

La videocamera del campanello trasmette le immagini a un server RTSP (Real Time Streaming Protocol) tramite la porta 554. Questo percorso non era protetto da alcuna forma di autenticazione. Ciò ha consentito agli estranei di riprodurre feed audio-video con qualsiasi lettore multimediale compatibile.

Tali attacchi sono particolarmente pericolosi nelle proprietà con molte parti, come piccoli negozi o edifici con appartamenti condivisi, molti proprietari o uffici condivisi. In questo caso, altri partecipanti alla stessa rete wireless e nel raggio d'azione dei sistemi interessati potrebbero intercettare le conversazioni.

Fattore di rischio Smart Home IoT

Altre vulnerabilità risolte dimostrano le tipiche minacce IoT negli edifici intelligenti:

  • Un aggiornamento di sicurezza era già previsto per le videocamere Ring Doorbell Pro di Amazon nel 2019 perché il controllo dell'identità in un punto di accesso veniva effettuato tramite HTTP non crittografato. Gli hacker a portata di mano potrebbero aver spiato i dati di accesso.
  • Nel 2020, gli esperti di August Smart Lock Pro hanno rilevato vulnerabilità nelle serrature intelligenti. Ha consentito il furto di una password WiFi con tutte le possibilità associate come l'accesso all'archiviazione, lo spionaggio, il furto di password nonché dati o informazioni personali per scopi fraudolenti.
  • Le luci controllate dal cloud o le funzioni automatiche negli edifici intelligenti hanno rappresentato un altro rischio per i proprietari di case: gli hacker hanno avuto l'opportunità di controllare il processo di aggiornamento del firmware per prese intelligenti, portalampade e interruttori a parete tramite la piattaforma eWeLink e iniettare aggiornamenti dannosi. Ancora una volta, era responsabile un processo di autenticazione progettato in modo errato per gli switch da parte del server. Alla fine, tutto ciò di cui aveva bisogno l'hacker era un numero ID valido, che gli aggressori potevano inserire utilizzando qualsiasi smartphone.

Tali errori nello sviluppo sono comuni nel mondo IoT non standard. Gli esperti di sicurezza contattano i produttori in una fase iniziale, ma spesso solo dopo un po' ea volte per niente, a differenza dei casi qui presentati.

In linea di principio, qualsiasi oggetto connesso a Internet può essere violato. Gli utenti dovrebbero quindi monitorare rigorosamente i dispositivi IoT e isolarli il più possibile dalle reti locali o ospiti, ad esempio utilizzando un SSID dedicato solo per l'hardware IoT. I produttori aumentano la sicurezza aggiornando automaticamente i loro sistemi. Anche gli utenti dovrebbero apprezzarlo. Inoltre, anche i servizi e il software di sicurezza IT dovrebbero eseguire la scansione dei dispositivi IoT. I router moderni possono quindi proteggere le reti private, incluso l'hardware IoT.

Diversi white paper, report tecnici e documentazione sono disponibili online:

 

Scopri di più su Bitdefender.com

 

Informazioni su Bitdefender

Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati ​​e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

Bitdefender, racconti