{"id":27443,"date":"2022-12-15T19:17:59","date_gmt":"2022-12-15T17:17:59","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27443"},"modified":"2022-12-15T19:17:59","modified_gmt":"2022-12-15T17:17:59","slug":"ip-cameras-unsecurity-eufy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ip-cameras-unsecurity-eufy\/27443\/","title":{"rendered":"La sicurezza delle telecamere IP: il brutto, il cattivo e… il malvagio"},"content":{"rendered":"

I dispositivi per le case intelligenti sono sempre pi\u00f9 richiesti e annoverano tra loro tutta una serie di prodotti elettronici moderni ed efficienti. Bollitori con interfaccia web, ferri da stiro che si spengono a distanza, sistemi di controllo dell\u2019illuminazione intelligente: esiste ogni sorta di prodotto per semplificarci la vita. Tuttavia, la domanda \u00e8: questi oggetti sono sicuri? Oltre alla comodit\u00e0, i dispositivi dell\u2019Internet delle cose (IoT) comportano nuovi rischi per la sicurezza e la privacy, ed \u00e8 raro che passi una settimana senza che venga segnalata una nuova vulnerabilit\u00e0 riscontrata in questo o quel smart gadget. Persino una \u201clampadina intelligente\u201d pu\u00f2 essere usata per hackerare una rete domestica<\/a>, per non parlare di ci\u00f2 che si pu\u00f2 fare con dispositivi pi\u00f9 seri.<\/p>\n

Un dispositivo chiave di qualsiasi sistema di sicurezza domestico \u00e8 una videocamera collegata a Internet. Ne esistono di tutti i tipi: dalle telecamere e baby monitor per controllare i bambini, ai videocampanelli, fino alle sofisticate telecamere motorizzate per la videosorveglianza professionale.<\/p>\n

Le telecamere IP, come dice il nome stesso, sono permanentemente online o si collegano regolarmente alla rete e le riprese sono solitamente disponibili attraverso il servizio offerto dal fornitore. L\u2019accesso a questo servizio consente di visionare il flusso video della telecamera da qualsiasi parte del mondo uno si trovi. Oltre a essere comodo, l\u2019alternativa (come una telecamera accessibile solo da una rete locale) difficilmente attirer\u00e0 i potenziali clienti.<\/p>\n

Ma questo solleva una serie di domande: cosa succede se i cybercriminali rubano le credenziali di accesso? Quanto sono sicuri i sistemi di videosorveglianza su cloud? I criminali possono accedere al flusso video senza entrare nel nostro account? In fin dei conti, nel peggiore dei casi, le informazioni altamente sensibili, comprese le immagini e i video della vostra casa, cadrebbero nelle mani sbagliate.<\/p>\n

Promesse non mantenute<\/h2>\n

Tutti questi timori erano ben noti ad Anker quando ha lanciato la propria linea di telecamere IP con il marchio Eufy. Fondata nel 2011, Anker non \u00e8 nuovo nel settore dell\u2019elettronica. Dopo aver iniziato a produrre caricabatterie e accessori per smartphone e laptop, ha gradualmente creato una gamma completa di dispositivi elettronici portatili per tutti i gusti e le esigenze, compresi i videocitofoni e le telecamere di sicurezza.<\/p>\n

\"Schermata

Schermata del sito web di Eufy che garantisce una protezione completa dei dati dei clienti.<\/p><\/div>\n

In un annuncio sul sito di Eufy<\/a>, gli sviluppatori della telecamera garantiscono la massima privacy e affermano che non vengono utilizzate tecnologie cloud: tutti i dati sono conservati in una memoria locale sicura. La funzione di videosorveglianza da remoto pu\u00f2 essere completamente disattivata, ma se si desidera vedere cosa succede all\u2019interno della casa, la videocamera cripta il flusso video e lo trasmette a un\u2019app per smartphone, l\u2019unico posto in cui potr\u00e0 essere decriptato. Si tratta della cosiddetta crittografia end-to-end<\/em>, che significa che nessuno, nemmeno il fornitore, pu\u00f2 accedere ai dati.<\/p>\n

Un altro aspetto importante \u00e8 che il sistema di riconoscimento funziona direttamente sul dispositivo stesso. L\u2019intelligenza artificiale integrata in ogni telecamera analizza le riprese senza trasmettere nulla ai server dell\u2019azienda, identifica le persone inquadrate e distingue persino i proprietari e gli inquilini dagli estranei, in modo che il proprietario della telecamera venga avvisato solo se viene visualizzato un volto sconosciuto.<\/p>\n

Privacy totale, garantita. Di recente, tuttavia, gli utenti hanno ricevuto una piccola sorpresa: in realt\u00e0, le telecamere Eufy funzionano in modo leggermente diverso. Il 23 novembre, l\u2019esperto di sicurezza britannico Paul Moore ha twittato<\/a> un video<\/a> in cui accusa Eufy di trasmettere i dati al cloud, anche quando l\u2019opzione \u00e8 disattivata.<\/p>\n

\"Uno

Uno dei tweet di Paul Moore sui problemi di sicurezza che interessano i dati delle telecamere Eufy.<\/p><\/div>\n

Il video di Moore fornisce una dimostrazione dettagliata del problema, che ha individuato abbastanza facilmente. Dopo aver installato un videocitofono Eufy, Paul si \u00e8 collegato all\u2019interfaccia web del dispositivo, dove ha analizzato il codice sorgente nel browser e ha dimostrato che la telecamera invia un\u2019immagine al server del fornitore ogni volta che qualcuno appare nell\u2019inquadratura. Ci\u00f2 significa che almeno una delle garanzie di Eufy (\u201cniente cloud\u201d) non \u00e8 vera.<\/p>\n

Moore ha poi twittato pi\u00f9 volte denunciando alcuni gravi problemi che riguardano la sicurezzae dei dati. A quanto pare, la crittografia \u201caffidabile\u201d di Eufy utilizza<\/a> una chiave fissa identica per tutti gli utenti. Ma non finisce qui: questa chiave \u00e8 apparsa nel codice di Eufy pubblicato dall\u2019azienda stessa su GitHub<\/a>. In seguito, il sito tecnologico The Verge<\/em>, facendo riferimento a Moore e a un altro esperto di sicurezza, ha confermato<\/a> l\u2019ipotesi peggiore: \u00a0a quanto pare, chiunque pu\u00f2 visualizzare online il flusso video semplicemente collegandosi all\u2019 indirizzo del dispositivo.<\/p>\n

Una spiegazione confusa<\/h2>\n

Va detto che c\u2019\u00e8 una spiegazione del tutto logica per il primo problema del caricamento dei filmati sul cloud. In teoria, le telecamere Eufy funzionano nel modo seguente: si installa la telecamera in casa e si configura l\u2019app sullo smartphone. Quando qualcuno preme il pulsante Smart \u0421all o il sistema di riconoscimento vede apparire qualcuno nell\u2019inquadratura, si riceve una notifica sullo smartphone con allegata una foto. L\u2019unico modo per inviare tali notifiche, molto probabilmente, \u00e8 tramite il cloud. Ma allora perch\u00e9 Eufy ha promesso un servizio senza cloud? Bella domanda!<\/p>\n

E se il flusso video fosse accessibile da remoto? The Verge<\/em> e le sue fonti non hanno svelato i dettagli per paura che la vulnerabilit\u00e0 possa essere sfruttata in modo massivo. Tuttavia, alcuni fatti sono noti: innanzitutto, non viene utilizzata la crittografia promessa per trasmettere il flusso video. In realt\u00e0, il flusso non \u00e8 per nulla crittografato e pu\u00f2 essere visualizzato con un normale media player, come VLC. In secondo luogo, per accedere a una determinata telecamera, \u00e8 necessario conoscere l\u2019URL unico; in altre parole, il suo indirizzo Internet. Ma questi indirizzi sono generati in modo prevedibile: in base al numero di serie del dispositivo stampato direttamente sulla scatola, pi\u00f9 la data e l\u2019ora corrente. A questo si aggiunge (per maggiore \u201csicurezza\u201d) un numero casuale di quattro cifre, facile da forzare con un attacco di forza-bruta. L\u2019unica cosa che salva il proprietario della telecamera da un malintenzionato che conosce il numero di serie del dispositivo \u00e8 che la telecamera non carica costantemente i dati online. Deve prima essere attivata, ad esempio, premendo il pulsante del campanello, e solo in quel momento un estraneo pu\u00f2 connettersi.<\/p>\n

Ad Anker, il produttore di Eufy, \u00e8 stato chiesto di confermare o smentire le accuse, il che non ha fatto altro che confondere ulteriormente la questione. Come hanno osservato The Verge<\/em> e Ars Technica<\/em><\/a>, gli sviluppatori hanno negato categoricamente l\u2019esistenza di problemi di sicurezza e, quando sono stati interpellati su problemi specifici, hanno rilasciato almeno due dichiarazioni che sono state successivamente smentite.<\/p>\n

Inizialmente, l\u2019azienda ha \u201cconfermato\u201d che non \u00e8 possibile guardare i filmati in diretta da una telecamera, ma The Verge<\/em> ci \u00e8 riuscito utilizzando due delle telecamere Eufy di sua propriet\u00e0. Poi, il fornitore ha ammesso che le riprese del videocitofono vengono inviate ai server dell\u2019azienda, ma solo per poter garantire l\u2019invio delle notifiche allo smartphone, dopodich\u00e9 le immagini vengono cancellate. Ma anche questo \u00e8 stato smentito<\/a> da Moore con un semplice test<\/a>: dopo aver visualizzato le foto della telecamera nel suo account personale, ha salvato gli URL delle immagini e poi le ha cancellate dal suo telefono. Sebbene le immagini siano scomparse dal suo account personale, Moore \u00e8 stato in grado di accedervi semplicemente inserendo gli URL salvati nella barra degli indirizzi del browser. L\u2019altro ricercatore sopracitato \u00e8 andato oltre<\/a>: dopo aver eseguito un reset completo della videocamera, che ha cancellato tutti i video salvati dal suo account, ha ricollegato il dispositivo al suo account e ha visto\u2026 i video teoricamente cancellati!<\/p>\n

In generale, nel campo della sicurezza esistono alcuni standard etici comuni, tra cui le modalit\u00e0 di divulgazione delle informazioni sulle vulnerabilit\u00e0 e la risposta dei fornitori. Nel caso di Eufy, per\u00f2, tutto questo \u00e8 non \u00e8 stato rispettato: invece di dare all\u2019azienda la possibilit\u00e0 di risolvere i problemi, i ricercatori hanno immediatamente reso pubbliche le vulnerabilit\u00e0. Poi, per aggiungere altra benzina al fuoco, l\u2019azienda ha deciso di negare i problemi evidenti. Eufy non ha fornito alcuna prova tecnica per confutare le affermazioni degli esperti indipendenti, mentre l\u2019unico cambio che Moore ha notato dopo i suoi post accusatori \u00e8 stato che i link ai frame della telecamera, precedentemente mostrati in clear-text<\/em> nell\u2019HTML, erano stati offuscati. In altre parole, le informazioni vengono ancora inviate al server di Eufy, solo che \u00e8 diventato pi\u00f9 difficile rintracciarle.<\/p>\n

Come proteggersi<\/h2>\n

Il caso Eufy \u00e8 molto recente e sono necessarie ulteriori ricerche per dimostrare in modo in cui un estraneo pu\u00f2 intercettare i filmati di una telecamera IP di un particolare utente o di uno a caso. Tuttavia, esistono casi di problemi di sicurezza ancora pi\u00f9 gravi. Ad esempio, nel 2021 \u00e8 stato scoperto che le telecamere IP del produttore cinese Hikvision contenevano<\/a> una vulnerabilit\u00e0 critica che consentiva a un utente malintenzionato di ottenere il pieno controllo del dispositivo. \u00c8 stata rilasciata una patch per risolvere il problema, ma un anno dopo qualsiasi persona curiosa poteva accedere a decine di migliaia di videocamere vulnerabili in tutto il mondo. Purtroppo, i proprietari di questi dispositivi potrebbero non essere nemmeno a conoscenza della vulnerabilit\u00e0, il che rappresenta la peggiore delle ipotesi.<\/p>\n

Quindi, ancora una volta ci troviamo di fronte all\u2019eterna domanda: di chi \u00e8 la colpa e cosa possiamo fare? Purtroppo il settore IoT non \u00e8 affatto standardizzato. Non esistono norme generalmente accettate che garantiscano un minimo di sicurezza e i fornitori proteggono i propri dispositivi in base alle risorse disponibili e alle proprie nozioni di sicurezza. Spetta all\u2019utente decidere a quale fornitore affidarsi.<\/p>\n

Come sottolinea giustamente Ars Technica<\/em><\/a>, se il dispositivo ha una webcam e un Wi-Fi, prima o poi qualcuno trover\u00e0 una falla nella sicurezza. \u00c8 interessante osservare che alcuni dispositivi simili dal punto di vista del design, come le webcam dei computer portatili e degli smartphone, sono molto pi\u00f9 protetti: infatti, quando la fotocamera \u00e8 in uso generalmente si accende\u00a0 un indicatore e le soluzioni di sicurezza<\/a> monitorano le app e bloccano gli accessi non autorizzati.<\/p>\n\n

Le telecamere di sorveglianza IP, invece, funzionano in modo autonomo, a volte 24 ore su 24, 7 giorni su 7. Purtroppo, fino a quando non sar\u00e0 disponibile un sistema accettato a livello globale consigliamo ai proprietari di qualsiasi sistema di videosorveglianza di tenere d\u2019occhio le notizie sui problemi di sicurezza dei loro dispositivi, di esaminare attentamente le impostazioni delle telecamere, di disattivare le funzioni cloud non utilizzate e di installare regolarmente gli aggiornamenti. E quando decidete di installare un sistema di videosorveglianza all\u2019interno della vostra casa, valutate tutti i rischi, poich\u00e9 i danni potenziali derivanti dall\u2019hacking sono enormi.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dicono che i sistemi di videosorveglianza domestici siano sicuri. Ma siete pronti a diventare i protagonisti di un reality a vostra insaputa? <\/p>\n","protected":false},"author":665,"featured_media":27446,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641],"tags":[2748,2334,1263,3497,1364,638,1366,3618],"class_list":{"0":"post-27443","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-casa-intelligente","10":"tag-cctv","11":"tag-dati-personali","12":"tag-fughe-di-notizie","13":"tag-iot","14":"tag-minacce","15":"tag-telecamere-di-sorveglianza","16":"tag-videosorveglianza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ip-cameras-unsecurity-eufy\/27443\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ip-cameras-unsecurity-eufy\/24970\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/20468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/10338\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/27538\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ip-cameras-unsecurity-eufy\/25302\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/25617\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ip-cameras-unsecurity-eufy\/28175\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ip-cameras-unsecurity-eufy\/34368\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ip-cameras-unsecurity-eufy\/11183\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/46574\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ip-cameras-unsecurity-eufy\/19887\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ip-cameras-unsecurity-eufy\/20469\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ip-cameras-unsecurity-eufy\/29594\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ip-cameras-unsecurity-eufy\/33000\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ip-cameras-unsecurity-eufy\/28677\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ip-cameras-unsecurity-eufy\/25657\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ip-cameras-unsecurity-eufy\/31349\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ip-cameras-unsecurity-eufy\/31076\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/minacce\/","name":"minacce"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27443","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27443"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27443\/revisions"}],"predecessor-version":[{"id":27448,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27443\/revisions\/27448"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27446"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27443"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27443"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27443"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}