Sicurezza nei dispositivi per controllare i bambini: attenzione a dare agli estranei l’accesso alle vostre riprese video

di Fabrizio Castagnotto

Se tenete d’occhio i vostri figli mentre dormono con un baby monitor dotato di videocamera, potrebbe esserci qualcun altro a guardarli oltre a voi. I ricercatori per la sicurezza di Bitdefender hanno rivelato una serie di gravi lacune nella sicurezza del dispositivo iBaby Monitor M6S, che tra le altre cose, consentono a terze parti l’accesso remoto ai filmati privati delle videocamere.

Molti genitori si affidano comunemente a baby monitor per controllare comodamente a distanza il sonno dei propri figli quando per esempio dormono in un’altra stanza. Un nuovo Report realizzato dalla società di sicurezza informatica Bitdefender svela tuttavia alcune falle nella sicurezza nel dispositivo iBaby Monitor M6S, per colpa delle quali aumenta il rischio che a queste registrazioni, che devono rimanere private, possano accedere persone non autorizzate e malintenzionate.

”Le vulnerabilità che abbiamo trovato nel dispositivo iBaby Monitor M6S permettono agli aggressori di accedere alle immagi della videocamera di sicurezza, ai video footage e anche a informazioni private, come per esempio l’indirizzo email del proprietario del dispositivo, il suo nome, la posizione e la sua fotografia,” dichiara Alexandru “Jay” Balan, Chief Security Researcher in Bitdefender e profondo esperto di minacce digiali.

Accesso remoto a informazioni personali e a contenuti video Se gli utenti sono in possesso di un modello iBaby Monitor M6S, è bene conoscano alcuni rischi associati a questo modello nel momento in cui si porcede al collegamento ad Internet, requisito necessario per il funzionamento stesso della videocamera.

Una delle falle presenti nel dispositivo permette agli hacker di accedere al bucket di AWS. Questo perché la telecamera utilizza una chiave segreta e un ID come chiave di accesso per caricare un allarme nel cloud, e queste chiavi possono essere utilizzate per l’elenco delle directory e il download di qualsiasi allarme (video o immagine) caricato da qualsiasi telecamera con gli allarmi abilitati (movimento e/o suono).

Non è la prima volta che vengono rivelate vulnerabilità di sicurezza nei baby monitor con capacità di videosorveglianza o in altri dispositivi collegati a Internet. I ricercatori che si occupano di sicurezza hanno ripetutamente riscontrato vulnerabilità in questi tipi di dispositivi connessi a Internet, come conferma Alexandru “Jay” Balan: “Abbiamo fatto ricerche sull’iBaby Monitor M6S perché è un prodotto collegato a Internet molto popolare. Senza dubbio, ci sono innumerevoli altri dispositivi IoT che sono almeno altrettanto vulnerabili, ma non sono ancora stati individuati.”

Nonostante gli sforzi di Bitdefender, l’azienda non è riuscita a mettersi in contatto con il fornitore per risolvere o attenuare i problemi riscontrati.

Proteggere la famiglia da ospiti indesiderati Per proteggere la propria famiglia da eventuali intrusioni sulla vostra rete, senza dover cambiare la tecnologia di cui disponete, ecco alcuni consigli di Bitdefender su come proteggersi facilmente dagli hacker:

  1. Tenere sempre aggiornato il vostro software: che si tratti di un telefono, di un computer o di un baby monitor, è sempre una buona idea seguire le indicazioni del dispositivo quando chiede un aggiornamento del software. Tra le altre cose, l’aggiornamento può includere importanti modifiche al software stesso che chiudono le falle di sicurezza del prodotto.
  2. Applicare l’autenticazione a due fattori: l’autenticazione a due fattori utilizza un dispositivo separato per verificare la propria identità quando si accede a un dispositivo o a un account. Ad esempio, è possibile verificare la propria identità quando è necessario accedere a un account facendosi inviare un codice di verifica sul proprio telefono. E ricordate di applicare password diverse e difficili a diversi dispositivi e account online.
  3. Eseguire la scansione dei dispositivi di casa: Bitdefender offre uno strumento gratuito per la scansione dei dispositivi di casa e la sicurezza generale. Bitdefender Home Scanner cerca i dispositivi e le password vulnerabili sulla tua rete e fornisce buoni consigli su come migliorare la sicurezza.

Ulteriori informazioni sulle vulnerabilità scoperte nel dispositivo iBaby Monity M6S:

  1. Non è possibile intercettare la connessione HTTPS con il cloud di Amazon perché il certificato è convalidato. Sfortunatamente, la funzione bucket di Amazon (bucket di AWS), dove i file della videocamera vengono caricati e memorizzati, non è stata impostata correttamente dal fornitore di iBaby Monitor M6S. In questo caso, la chiave e il vettore di inizializzazione (IV) per la crittografia del payload sono prevedibili e possono essere ottenuti solo conoscendo l’ID della videocamera. Poiché le richieste contengono il NetId (ID della telecamera) in chiaro, il payload utile può essere facilmente decriptato.
  2. Bitdefender ha scoperto che queste chiavi possono essere utilizzate per l’elenco delle directory e il download di qualsiasi avviso (video o immagine) caricato dalle telecamere con la funzione di allarme abilitata.
  3. Fuga di informazioni attraverso il servizio MQTT, che porta all’accesso remoto della telecamera (CVE-2019-12268) – Se un aggressore controlla il server MQTT quando un utente configura una telecamera, le informazioni critiche vengono trasmesse all’aggressore. Potrebbero quindi trasmettere video in streaming, fare screenshot, registrare video o riprodurre musica utilizzando le credenziali ottenute.
  4. Perdita di informazioni personali degli utenti attraverso una vulnerabilità IDOR (Indirect Object Reference) – un aggressore può inviare richieste per ottenere l’indirizzo e-mail, il nome, la posizione e l’immagine del profilo del proprietario della fotocamera, così come i timestamp che mostrano quando l’utente ha accesso alla sua fotocamera.
Print Friendly, PDF & Email

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)