Violazioni nella videocamera di sicurezza LifeShield: live streaming non autorizzati dalle abitazioni degli utenti

redazione

Bitdefender Labs ha scoperto alcune vulnerabilità in una popolare telecamera di sicurezza domestica LifeShield che, se sfruttate, permetterebbero a un criminale informatico di commettere diverse violazioni a discapito della privacy degli utilizzatori a cui potrebbero essere rubati audio e video privati.

Potrebbero essere interessati da queste vulnerabilità sia gli utenti privati (che hanno installato la videocamera nella propria abitazione), sia gli utenti professionali in ambienti pubblici (per esempio un bar) che in uffici aziendali privati.

Impatto

Esaminando la videocamera LifeShield, i ricercatori di Bitdefender hanno scoperto diversi problemi di sicurezza che permetterebbero a un criminale informatico che condivide la stessa LAN di:

  • far trapelare le credenziali locali dal cloud per ogni dispositivo vulnerabile
  • lanciare un attacco command injection locale dopo l’autenticazione
  • accedere al feed RSTP quando collegati alla stessa rete

Questi attacchi sono particolarmente efficaci in ambienti multi-tenant, come piccoli negozi o abitazioni condivise, permettendo a una persona connessa allo stesso Wi-Fi di ascoltare furtivamente le conversazioni attraverso il prodotto vulnerabile.

Consigli di sicurezza

Bitdefender, per evitare di incorrere in spiacevoli episodi legati alla sicurezza dei dispositivi IoT presenti ormai in tutte le abitazioni, consiglia quanto segue:

  • Eseguire un controllo di sicurezza per tutti i dispositivi che vengono collegati alla rete
  • Mantenere sempre i dispositivi aggiornati con l’ultimo firmware, poiché le aziende identificano e neutralizzano le vulnerabilità tramite le versioni più recenti degli aggiornamenti.
  • Se possibile, isolare i dispositivi IoT in una LAN separata per ridurre al minimo il rischio che criminali informatici possano penetrare nella rete ed eventualmente manomettere altri dispositivi come le unità NAS o le condivisioni di file locali.
  • Inoltre, gli utilizzatori di dipositivi IoT possono utilizzare l’app gratuita Bitdefender Smart Home Scanner per analizzare i dispositivi connessi, identificare ed evidenziare quelli vulnerabili.
  • Per ridurre al minimo i rischi di violazione, gli utenti di dispositivi smart home dovrebbero considerare l’adozione di una soluzione di cybersecurity di rete integrata nel router, come i router NETGEAR Orbi o Nighthawk alimentati da Bitdefender Armor.

 

“Le soluzioni di sicurezza domestica sono molto importanti per lo stile di vita moderno. A partire dai sensori di sorveglianza, queste soluzioni proteggono le nostre case, i nostri uffici, mentre viviamo questi ambienti e, ancora di più, mentre ne siamo fuori.  Facilmente accessibili da qualsiasi parte del mondo, questi feed live offrono tranquillità, facendoci sapere in tempo reale com’è la situazione.” Dichiara Bogdan Botezatu, Director of Threat Research and Reporting presso Bitdefender, che prosegue: “Proteggere questo universo implica una stretta collaborazione tra i fornitori, gli utenti e i team esterni che si occupano di sicurezza. Le lacune in questo fragile ecosistema possono avere conseguenze impreviste e potrebbero persino trasformare i dispositivi che proteggono la nostra privacy in strumenti che la violano. Ecco perché è indispensabile divulgare conoscenze e informazioni sui rischi che si corrono con l’utilizzo dei dispositivi IoT e fare luce sulla sicurezza dei prodotti best-seller mondiali in questo settore. “

L’azienda ADT, che ora possiede il marchio LifeShield, è stata rapida nell’affrontare i problemi una volta informata da Bitdefender delle vulnerabilità riscontrate nella loro telecamera di sicurezza. Le patch sono state applicate ai server di produzione e a tutti i 1.500 dispositivi interessati entro 2 settimane dalla notifica.