Si chiama LifeShield, ma questa videocamera per la sorveglianza di abitazioni e uffici potrebbe non essere un buono “scudo”, anzi: potrebbe consentire attacchi finalizzati a spiare e a rubare dati audio e video. Bitdefender ha scoperto un bug nel software nei sistemi di videosorveglianza LifeShield (videocamere e videocitofoni smart), grazie al quale eventuali malintenzionati potrebbero accedere ai live streaming di questi dispositivi.
Va detto che l'azienda proprietaria del marchio LifeShield, Adt, è stata informata del problema e ha prontamente avviato la distribuzione di alcune patch dai propri server di produzione verso tutti i 1.500 dispositivi interessati dal problema.
Ugualmente, la scoperta è preoccupante perché mostra la debolezza di sistemi Internet of Things che dovrebbero concorrere alla sicurezza di case, uffici e persone, e che invece possono rappresentare un rischio per la privacy (quantomeno).
Dalle analisi realizzate da Bitdefender sono emersi diversi problemi di sicurezza che potevano permettere a un criminale informatico che condividesse la medesima Lan (Local Area Network) del dispositivo di compiere tre attività dannose. Ovvero: far trapelare le credenziali locali dal cloud per ogni dispositivo vulnerabile, lanciare un attacco command injection locale dopo l'autenticazion e accedere al feed Rstp (Real Time Streaming Protocol) se chi attacca è collegato alla stessa rete usata dalla videocamera.
In sostanza, una persona connessa alla stessa rete WiFi usata dalla videocamera avrebbe potuto ascoltare conversazioni e spiare a distanza. Questi attacchi, sottolinea Bitdefender, sono particolarmente efficaci in ambienti multi-tenant, come piccoli negozi o abitazioni condivise.
“Facilmente accessibili da qualsiasi parte del mondo, questi live feed offrono tranquillità, facendoci sapere in tempo reale com’è la situazione”, ha commentato Bogdan Botezatu, direttore threat research and reporting di Bitdefender. “Proteggere questo universo implica una stretta collaborazione tra i fornitori, gli utenti e i team esterni che si occupano di sicurezza. Le lacune in questo fragile ecosistema possono avere conseguenze impreviste e potrebbero persino trasformare i dispositivi che proteggono la nostra privacy in strumenti che la violano. Ecco perché è indispensabile divulgare conoscenze e informazioni sui rischi che si corrono con l’utilizzo dei dispositivi IoT e fare luce sulla sicurezza dei prodotti bestseller mondiali in questo settore”.