Una videocamera di sorveglianza permetteva agli hacker di spiare gli utenti
I ricercatori della casa produttrice di software Eset hanno scovato un’importante vulnerabilità all’interno di una videocamera di sorveglianza che permetteva a eventuali malintenzionati non soltanto di accedere alle trasmissioni video, ma anche di intromettersi nei computer collegati modificando il firmware del dispositivo, con tecniche abbastanza basilari per un buon cybercriminale.
Come riportato dalla stessa Eset, il dispositivo in questo è il modello di videocamera digitale D-Link DCS-2132L e mostra come questi strumenti pensati per proteggere possano diventare invece proprio la chiave d’accesso alla privacy della casa (e anche, potenzialmente, a qualcosa di più delicato).
Come possono i criminali informatici intercettare e visualizzare un video registrato, spingendosi fino a mettere le mani sul firmware del dispositivo? Il punto di partenza è che la trasmissione dei dati non è crittografata su entrambe le connessioni che si creano con il flusso video, dunque da un lato tra la videocamera di sorveglianza e il cloud e dall’altro dal cloud fino all’applicazione dell’utente che può collegarsi per aprire una finestra sulla propria casa, ufficio o attività.
I ricercatori hanno trovato debolezze anche nel plug-in “myDlink services” che si occupa di gestire il traffico dei dati e la riproduzione del video in tempo reale direttamente sul browser del client. Il plug-in è infatti responsabile di inoltrare le richieste di accesso ai dati attraverso tunneling, ovvero la procedura che veicola – proprio come in un tunnel – informazioni su standard http invece che su altri protocolli.
Così facendo, però, si presta il fianco all’accesso con la possibilità per i cybercriminali di sostituire il firmware con una versione modificata e/o con una backdoor per accedere al sistema operativo intero. Il computer non richiederà infatti alcuna autorizzazione, perché le richieste http vengono elevate automaticamente al livello di amministrazione accedendo da un ip locale.
Dietro segnalazione di Eset, D-link ha già risolto le debolezze del plug-in myDlink, ma permangono quelle relative alla trasmissione non crittografata ed è verosimile che questo caso si possa estendere anche ad altri modelli di altre marche. A chi avesse in casa una videocamera D-Link DCS-2132L si consiglia di verificare che la porta 80 non sia esposta a internet (dalla configurazione interna) e limitare l’accesso da remoto.
Fonte: Wired