Se possedete una webcam IP di videosorveglianza installata in azienda o a casa, forse è bene verificare che non sia una Amcrest IP2M-841B, perché potrebbe consentire a eventuali malintenzionati o curiosi di spiare i vostri discorsi. Dopo le rivelazioni di fonti confidenziali sulle registrazioni audio di Alexa, Google Assistant e Siri ascoltate da collaboratori di Amazon, Google ed Apple, il tema della privacy è attuale più che mai. Ma la notizia riguardante la webcam di Amcrest scoperchia un problema di sicurezza e non riguarda, come nei casi citati, le aree grigie dei contratti sui termini d’uso degli assistenti vocali. Più precisamente, scoperchia un problema di sicurezza e di fiducia, perché secondo i ricercatori della società di sicurezza Tenable questa webcam non sarebbe chi dice di essere (se ci passate l’espressione).

 

Tra le videocamere IP di fascia bassa, la Amcrest IP2M-841B pare essere piuttosto popolare, a giudicare dalle oltre 12mila recensioni pubblicate su Amazon.com, dove viene venduta per meno di 60 dollari. A dispetto delle funzionalità di sicurezza vantate nella scheda prodotto (fra cui supporto Ssl/Https, crittografia, certificazioni e aggiornamenti regolari per il firmware), per i ricercatori di Tenable sarebbe tutt’altro che a prova di intercettazione: questo modello permetterebbe a un malintenzionato di intrufolarsi nel flusso audio trasmesso dal dispositivo verso il cloud, e di farlo senza alcuna procedura di autenticazione.

 

“La versione del firmware V2.520.AC00.18.R non richiede una autenticazione per accedere all’Http endpoint /videotalk”, scrive Jacob Baines, un collaboratore di Tenable. “Un utente non autenticato da remoto può connettersi a questo endpoint e ascoltare l’audio catturato dal dispositivo”. Baines descrive la vulnerabilità, identificata come CVE-2019–3948, e spiega passo passo come sia riuscito a intercettare lo streaming audio con una procedura sostanzialmente “banale” per chi mastichi un po’ di informatica. Poi esagera forse leggermente, affermando che “in sostanza, se questo oggetto viene connesso direttamente a Internet, diventa uno strumento di ascolto per chiunque”.

 

Va precisato, come fa Zdnet, che avvisata dai ricercatori Amcrest ha rilasciato un aggiornamento firmware che risolve il problema. Ma c’è di più. A detta di Baines, dall’analisi del firmware di deduce che la webcam in questione sia sostanzialmente un rebranding dei prodotti di Dahua, un marchio cinese riconosciuto sul mercato ma non nuovo ai problemi di vulnerabilità.