Le Smart Security Cam? Non proprio così sicure

Gli ultimi anni – dal punto di vista della tecnologia consumer –, non c’è dubbio, hanno visto l’ingresso massiccio del paradigma dell’interconnessione in moltissimi ambiti della domotica. L’opportunità di avere tutto alla nostra portata di mano – anzi nel palmo della nostra mano – rappresentava e continua a rappresentare un’attrattiva irresistibile per l’utente finale. Dalle lampadine alle macchine del caffè passando per i vari Amazon Echo e Alexa fino ai semplici termostati, tutto oggi si può controllare dal nostro smartphone e tutto – punto da non sottovalutare – è connesso alla rete.

Uno dei prodotti che ha visto una vera e propria esplosione e popolarità di vendite è quello delle smart security cam, le videocamere di sorveglianza domestiche connesse e in cloud che permettono a tutti i membri di un nucleo familiare di collegarsi in qualsiasi momento al device e di guardare cosa sta succedendo all’interno (o esterno) della propria casa.

Uno dei produttori più famosi in questo ambito è Rings, l’azienda americana – di proprietà di Amazon – precedentemente nota come DoorBot. L’azienda non è certamente estranea a controversie, si veda il crash di tutti i server causato da un vero e proprio DDoS umano durante Halloween 2018, dove i sistemi erano stati sovraccaricati dall’enorme numero di bambini che attivavano i sistemi di registrazione suonando i campanelli per Trick or Treat.

Ma l’ultimo scandalo che ha coinvolto l’azienda ha poco a che vedere con un problema di disservizio. Dei criminal hacker hanno creato un software per violare i server e le singole smart security cam – prodotti che, tra le altre cose, sono anche molto diffusi tra i dipartimenti delle forze dell’ordine negli Stati Uniti.

Il caso

Solo la scorsa settimana un emittente locale nel Tennessee ha riportato il caso di una famiglia che ha scoperto essere stata vittima di un criminal hacker che aveva ottenuto accesso alla telecamera che i genitori avevano installato nella stanza delle proprie figlie per meglio monitorarle.

Non solo, una volta preso il controllo, l’aggressore aveva utilizzato gli speaker per parlare con le bambine che si trovavano in camera al momento. Stando a quanto riportato, la famiglia aveva acquistato la telecamera solo da quattro giorni, lasso di tempo in cui il criminal hacker avrebbe potuto essere già in possesso del pieno controllo.

Il modello di telecamera hackerato, specifico per uso interno, funziona attraverso un’interfaccia mobile che permette all’utente di monitorare ciò che accade in tempo reale e di interagire attraverso un interfono con chi sta dall’altra parte dell’obbiettivo.

I genitori, interpellati sull’accaduto hanno ammesso di non aver ancora – prima dell’attacco – avuto il tempo di settare l’autenticazione a due fattori, di fatto rendendo più facile per un eventuale aggressore prendere il controllo dell’account e “chiudere fuori” i legittimi proprietari. E in effetti è stato così anche nel caso che ha visto coinvolta la famiglia del Tennessee, il criminal hacker ha ottenuto accesso grazie all’insufficiente sicurezza della password dei genitori. Certo, anche se disponibile, Ring non sta forzando l'implementazione dell’autenticazione a due fattori, nonostante una telecamera IoT potenzialmente consenta a un threat actor di spiare conversazioni o su luoghi sensibili.

Il riscontro sui forum e le tecniche

Le vulnerabilità dei sistemi Ring, ma anche la loro appetibilità in generale ha trovato comunque risconto – a testimonianza che il caso descritto non è una semplice casualità – su numerosi forum nel dark web, dove threat actor interessati ad accedere questi sistemi sono stati rintracciati a discutere i tool necessari a violare gli account Ring.

È stato trovato un apposito Thread dove si discute la possibilità di settare un file .config appositamente a questo fine.

Solitamente questo tipo di file viene utilizzato per guidare un software apposito nel recuperare rapidamente i nomi utenti o gli indirizzi e-mail e le password e cercare di usarli per accedere agli account. Questa è la stessa metodologia utilizzata per colpire altre organizzazioni come Uber e Facebook. Sempre indagando sul Dark Web è stato possibile verificare che il file .config in questione era stato settato con un “High CPM” o check per minute, ovvero una modalità specifica per capire rapidamente se gli account testati avevano accesso ad una telecamera Ring. I rischi quindi sono già ben conosciuti e l’incidenza di questi attacchi, se non vengono prese le giuste misure, non farà altro che aumentare.

IoT, problema o soluzione?

Nel caso della telecamera hackerata, il padre delle ragazze era al piano di sotto durante l'attacco, e salì per fermare la telecamera. Ma non si tratta di un fenomeno isolato, una breve ricerca su Google in tema di sicurezza delle Smart Security Cam rivelerebbe molti esempi che dimostrano perché, per la maggior parte delle famiglie, mettere una telecamera in una stanza dei bambini è un rischio inutile: fin troppi dispositivi IoT sono stati violati in passato.

Quando parliamo di IoT in ambito di domotica, ovvero l’utilizzare oggetti sempre connessi alla rete, che comunicano i dati sulle nostre abitudini, sulla salute e sullo stile di vita, troppo spesso ignoriamo come questi possano esporci al rischio di perderne il controllo, o di finire vittima di chi con questi dati sottratti illegalmente “vive”.

Forse la rapidità con cui abbiamo accettato questi dispositivi all’interno delle nostre case è uno degli aspetti che può destare più perplessità, soprattutto la leggerezza – parlando ad ampio spettro ovviamente – con cui li abbiamo resi parte della nostra quotidianità… Le telecamere di sicurezza possono essere uno strumento utile, ma nulla è sicuro al 100%. Lasciate che questo sia un promemoria: non si dovrebbe mai mettere una telecamera in una stanza che non vogliamo che nessun altro veda.