Oltre 2 milioni di dispositivi IoT tra cui telecamere di sicurezza IP, sistemi di sorveglianza, campanelli intelligenti e baby monitor presentano gravi vulnerabilità che potrebbero consentire a un criminal hacker di prenderne il controllo e spiare i loro proprietari.
E al momento, purtroppo, non esiste ancora alcuna patch di sicurezza che possa correggere i bug.
Un criminal hacker potrebbe quindi portare a termine un attacco sfruttando la tecnologia di comunicazione peer-to-peer (P2P) che consente di accedere a molti dispositivi della Internet of Things (IoT) senza alcuna configurazione manuale. La particolare soluzione P2P, denominata iLnkP2P, è stata sviluppata dalla cinese Shenzhen Yunni Technology, fornitore di telecamere di sicurezza, e contiene due gravi vulnerabilità che potrebbero consentire di rilevare e intercettare i dispositivi vulnerabili.
“Sono oltre 2 milioni i dispositivi vulnerabili identificati su Internet, compresi quelli distribuiti da HiChip, TENVIS, SV3C, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight e HVCAM”, ha annunciato in un post sul suo blog il ricercatore Paul Marrapese che ha lanciato l’allarme cyber spionaggio scoprendo le debolezze nel protocollo di comunicazione dei dispositivi IoT.
Purtroppo, però, il componente iLnkP2P è utilizzato anche da centinaia di altre marche di dispositivi IoT e ciò rende di fatto impossibile identificare tutti quelli vulnerabili.
Il componente, iLnkP2P, in particolare, consente ai proprietari dei dispositivi IoT di visualizzare filmati e monitorare le attività da remoto. Tuttavia, Marrapese ha scoperto che il software non richiede nessuna procedura di autenticazione per l’accesso ai dispositivi IoT e non utilizza alcun algoritmo di crittografia per proteggere il traffico di rete.
Secondo Jarno Niemelä, Principal Cyber Security Researcher di F-Secure, “Fondamentalmente, quello che si sta verificando in questo caso è l’errore di base di “fidarsi dell’altra parte”.
“La comunicazione che viene presa di mira in questo caso è tra l’applicazione mobile e il server di back-end, continua l’analista. “Il server di back-end si fida di qualsiasi numero seriale a cui l’applicazione mobile possa accedere senza alcuna verifica. Quindi l’attaccante può semplicemente scansionare il range limitato di numeri di serie per tutti i dispositivi noti al back-end”.
Indice degli argomenti
Dispositivi IoT vulnerabili: i dettagli tecnici
Come dicevamo, il componente iLnkP2P contiene due differenti vulnerabilità.
La prima vulnerabilità, identificata come CVE-2019-11219, consente ai criminal hacker di identificare facilmente i dispositivi attaccabili che sono online. Sfruttando poi la seconda vulnerabilità, identificata come CVE-2019-11220, gli aggressori possono effettuare un attacco di tipo man-in-the-middle e intercettare il traffico Internet scambiato tra il proprietario del dispositivo IoT e il dispositivo stesso, compresi i flussi video e le credenziali di accesso.
I proprietari di telecamere di sorveglianza e sistemi di sicurezza IoT possono scoprire se i loro dispositivi sono vulnerabili analizzandone l’UID, cioè il suo codice identificativo univoco.
Un elenco di tutti i prefissi noti per essere vulnerabili.
Dispositivi IoT vulnerabili: una possibile soluzione
Nel suo post, Marrapese ha detto di avere inviato un primo avviso ai fornitori di dispositivi in merito alle vulnerabilità individuate lo scorso 15 gennaio e un avviso agli sviluppatori di iLnkP2P il 4 febbraio, ma senza ricevere alcuna risposta. Il ricercatore ritiene, quindi, che difficilmente verranno rilasciati aggiornamenti per le due vulnerabilità.
Secondo Tom Van de Wiele, Principal Cyber Security Consultant di F-Secure, “le attuali e passate generazioni di dispositivi ed ecosistemi IoT, in particolare quelli a basso costo, soffrono di una serie di vulnerabilità e carenze di progettazione e implementazione. Questi dispositivi – e i servizi e la connettività da cui dipendono – di solito non sono progettati pensando alla sicurezza. Fortunatamente ci sono eccezioni a questa regola in cui il costo è stato mantenuto basso, ma è stato considerato il modello di minaccia: questo vale, ad esempio, per Philips, IKEA ecc. Il problema di fondo è la mancanza di incentivi per il produttore, l’integratore o il rivenditore affinché si preoccupino della sicurezza. Tutti e tre questi soggetti riversano la responsabilità sull’utente finale, che però è disinformato. Siamo in una fase di transizione in questo momento in cui questo mercato ha semplicemente bisogno di maturare e dove la pazienza di diversi stakeholder, basata sulla convinzione che “l’industria prima o poi capirà”, si sta esaurendo”.
“Per stabilire regolamenti e requisiti di base che rendano sicuri questi dispositivi IoT in futuro serve una leadership che comprenda l’impatto e la natura di alcuni di questi dispositivi quando sono esposti su Internet, e questo vale dalla catena di approvvigionamento fino a tutta la filiera” è il parere di Tom Van de Wiele. “Per quanto riguarda una strategia più reattiva per affrontare la situazione attuale, possiamo prendere come esempio il Giappone, che sta tentando di scoprire tutti i dispositivi online esposti nello spazio degli indirizzi IP giapponese al fine di prevenire qualsiasi imprevisto durante le Olimpiadi che si terranno lì. Un’operazione questa di costo relativamente basso, ma un esempio virtuoso che dobbiamo ancora vedere in Europa nel tentativo di mitigare i rischi inutili, la maggior parte dei quali è sconosciuta ai Paesi che stanno esponendo questi dispositivi”.
“Sebbene “bug bounties” e altri incentivi che promuovono la ricerca e la trasparenza possano aiutare a incentivare il consumatore e il venditore sull’importanza e il rischio di questi dispositivi per il futuro”, continua l’analista, “resta ancora molto lavoro da fare per ridurre il livello di rischio associato con prodotti e servizi per i quali non è stata dichiarata alcuna sicurezza o garanzia di servizio. Ciò significa che nel frattempo dobbiamo ricorrere alle premesse di base dell’information security, ovvero:
- isolare i sistemi e le reti in base alla loro funzione (ad esempio, inserire il mio dispositivo IoT sulle rete ospiti);
- isolare il controllo degli accessi (ad esempio utilizzare password univoche per ogni servizio e account, assicurarsi che solo alcuni servizi siano esposti a chi ne ha bisogno);
- assicurarsi che il monitoraggio e la rilevazione siano eseguite e possa essere fornita una risposta, essere informati sugli aggiornamenti di sicurezza del fornitore, assicurarsi di poter tenere traccia degli account utilizzati e di prendere una decisione informata sul dispositivo o il servizio che si acquista e per quanto tempo ci si può aspettare un servizio dal fornitore.
E come per tutto ciò che riguarda l’IT, e in particolare per l’IoT, ricordare che la “garanzia a vita” non è la durata del dispositivo o del servizio, ma è la durata della società che lo offre; quindi pianificare di conseguenza e sapere quando cancellare un acquisto o un servizio quando i rischi superano i benefici”.
Al momento, l’unica soluzione per neutralizzare le due vulnerabilità nel componente iLnkP2P e bloccare quindi ogni possibile tentativo di attacco consiste dunque nel bloccare, mediante un firewall, il traffico in uscita sulla porta UDP 32100: in questo modo, non si fa altro che impedire l’accesso ai dispositivi IoT da reti esterne attraverso il protocollo di comunicazione P2P.
