NEWS

Una videocamera di sorveglianza permetteva agli hacker di spiare gli utenti

I ricercatori della casa produttrice di software Eset hanno scovato un’importante vulnerabilità all’interno di una videocamera di sorveglianza che permetteva a eventuali malintenzionati non soltanto di accedere alle trasmissioni video, ma anche di intromettersi nei computer collegati modificando il firmware del dispositivo, con tecniche abbastanza basilari per un buon cybercriminale.

Come riportato dalla stessa Eset, il dispositivo in questo è il modello di videocamera digitale D-Link DCS-2132L e mostra come questi strumenti pensati per proteggere possano diventare invece proprio la chiave d’accesso alla privacy della casa (e anche, potenzialmente, a qualcosa di più delicato).

Come possono i criminali informatici intercettare e visualizzare un video registrato, spingendosi fino a mettere le mani sul firmware del dispositivo? Il punto di partenza è che la trasmissione dei dati non è crittografata su entrambe le connessioni che si creano con il flusso video, dunque da un lato tra la videocamera di sorveglianza e il cloud e dall’altro dal cloud fino all’applicazione dell’utente che può collegarsi per aprire una finestra sulla propria casa, ufficio o attività.

I ricercatori hanno trovato debolezze anche nel plug-in “myDlink services” che si occupa di gestire il traffico dei dati e la riproduzione del video in tempo reale direttamente sul browser del client. Il plug-in è infatti responsabile di inoltrare le richieste di accesso ai dati attraverso tunneling, ovvero la procedura che veicola – proprio come in un tunnel – informazioni su standard http invece che su altri protocolli.

Così facendo, però, si presta il fianco all’accesso con la possibilità per i cybercriminali di sostituire il firmware con una versione modificata e/o con una backdoor per accedere al sistema operativo intero. Il computer non richiederà infatti alcuna autorizzazione, perché le richieste http vengono elevate automaticamente al livello di amministrazione accedendo da un ip locale.

Dietro segnalazione di Eset, D-link ha già risolto le debolezze del plug-in myDlink, ma permangono quelle relative alla trasmissione non crittografata ed è verosimile che questo caso si possa estendere anche ad altri modelli di altre marche. A chi avesse in casa una videocamera D-Link DCS-2132L si consiglia di verificare che la porta 80 non sia esposta a internet (dalla configurazione interna) e limitare l’accesso da remoto.

Fonte: Wired

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Privacy online: un terzo degli utenti è disposto a dare accesso ai propri dati personali in cambio di denaro
Next Il decreto sulle Dat a misura di regole privacy: il testo al vaglio del Garante

Ue, rischio multe per chi non si adegua a regolamento protezione dati

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Ho letto l'informativa sulla privacy e presto il consenso al trattamento dei miei dati personali