Più di due milioni di oggetti connessi a Internet, fra webcam, videocitofoni smart, baby monitor, sistemi di sorveglianza Dvr e altri dispositivi IoT sono a rischio hackeraggio. Una nuova, diffusa minaccia legata alle debolezze dell’Internet of Things è stata scoperta dal ricercatore di sicurezza Paul Marrapese e poi segnalata al giornalista Brian Krebs, del noto sito di cybersicurezza KrebsOnSecurity. E ancora una volta sono sotta accusa tecnologie di fabbricazione cinese, come nel caso eclatante della botnet Mirai, che nel 2016 fece danni servendosi di oltre quattro milioni di webcam e altri dispositivi Internet of Things intrinsecamente deboli o mal configurati.

 

Nel nuovo caso, i marchi segnalati da Matarrese sono centinaia, tra cui HiChip, Tenvis, SV3C, VStarcam, Wanscam, Neo Coolcam, Sricam, Eye Sight e Hvcam. I dispositivi dei marchi individuati hanno in comune una caratteristica: utilizzano un componente firmware, iLnkP2P, che abilita le connessioni tra i dispositivi e i server dell’azienda produttrice tramite protocollo  P2P (peer-to-peer). Tale componente non è di per sé malevolo, ma è ciò che permette ai proprietari di webcam e altri dispositivi smart di controllarli tramite app dopo aver configurato il proprio smartphone con l’acquisizione di un codice QR o di un codice numerico.

 

Le wecam di HiChip e di altri produttori citati sono in vendita su Alibaba

 

Il problema sta nel fatto che iLnkP2P racchiuda due vulnerabiità, identificate come CVE-2019-11219 e CVE-2019-11220: la prima consente  a eventuali malintenzionati di trovare gli oggetti IoT connessi in Rete, la seconda permette di intercettare le connessioni tra i server e i dispositivi, e dunque di realizzare attacchi man-in-the-middle e furto di password. Ad attacco riuscito, l’hacker avrebbe da remoto il controllo del dispositivo, potendolo usare per esempio per spiare ciò che accade in casa della “vittima”.

 

Sebbene i marchi sotto accusa siano soprattutto cinesi, il problema è diffuso anche altrove. Nel proof-of-concept realizzato da Matarrese, il 39% delle vulnerabilità era collocato in Cina, il 19% nel Vecchio Continente e il 7% negli Stati Uniti. Contattata via email dal ricercatore, la società di Shenzen che produce il componente firmware, Yunni Technology Company, non ha risposto.