27 Maggio 2020 - Tempo di lettura: 11 minuti
Con l'aumentare dell'uso dei dispositivi Internet of Things (IoT) negli ambienti domestici, aumentano anche le segnalazioni di rischi per la sicurezza e la privacy. Blake Janes, uno studente di informatica della Florida Tech, ha rivelato la scoperta di quelli che chiamava "difetti sistematici di progettazione" nelle telecamere intelligenti e nei videocitofoni di Nest, Ring, SimpliSafe e altre otto società; questi difetti consentirebbero a un account condiviso presumibilmente eliminato di rimanere attivo e con pieno accesso ai flussi video.
Questa scoperta è stata pubblicata da Janes e due suoi colleghi nel documento "Storia infinita: difetti di progettazione dell'autenticazione e del controllo di accesso nei dispositivi IoT condivisi" .
Il giovane ricercatore ha scoperto che il meccanismo per la rimozione degli account utente non funziona come dovrebbe su molti di questi dispositivi, poiché gli account utente attivi non vengono eliminati. Questa condizione consentirebbe agli hacker di sfruttare il difetto e ottenere l'accesso al sistema con la possibilità di registrare audio e video senza che gli amministratori dei dispositivi interessati siano in grado di rilevare questa attività.
“Pensa a questo: una coppia che ha condiviso la stessa casa ha divorziato; entrambi hanno accesso al proprio sistema di sorveglianza e il soggetto A rimuove l'accesso per il soggetto B, sebbene questa azione non sia replicata sullo smartphone del soggetto B. Ciò significa che anche se il Soggetto A revoca altri accessi e reimposta la password per accedere al dispositivo, il Soggetto B avrà comunque accesso ai dati della videocamera, incluso lo streaming audio e video", afferma Janes.
I ricercatori attribuiscono questo comportamento al fatto che la concessione dell'accesso avviene nel cloud e non in locale (utilizzando app mobili da sistemi di sorveglianza o interfacce di gestione web). Secondo l'Istituto internazionale di sicurezza informatica (IICS), le società hanno deciso di adottare questo approccio perché consente alle telecamere di trasmettere dati senza la necessità di utilizzare forzatamente uno smartphone. Inoltre, questi dispositivi sono stati progettati in modo tale che gli utenti non dovevano rispondere alle richieste di accesso frequente, poiché ciò aumenta il tempo necessario per accedere ai dati trasmessi dalla telecamera, qualcosa di controproducente in un sistema di questa natura.
Uno dei fattori più inquietanti di questa scoperta è il fatto che gli hacker non richiederebbero l'uso di sofisticati strumenti di hacking per accedere alle trasmissioni di queste telecamere, poiché è necessaria solo qualsiasi applicazione o interfaccia utente.
Le aziende i cui prodotti contengono questo errore includono Blink, Canary, D-Link, Merkury, Momentum Axel, Nest, NightOwl, Samsung, SimpliSafe, TP-Link. Gli utenti di dispositivi compromessi devono rimanere vigili per installare gli aggiornamenti del firmware rilasciati dai produttori. Anche la verifica delle impostazioni del dispositivo è una buona misura preliminare.
I produttori i cui prodotti sono affetti da questi difetti sono già stati segnalati e stanno lavorando per attuare strategie appropriate per correggerli. Inoltre, Google ha assegnato agli investigatori una ricompensa di oltre $ 3.000 USD per l'identificazione di un ulteriore difetto di Nest; da parte loro, aziende come Samsung e Ring correggeranno il difetto in collaborazione con i ricercatori.