IoT

Which!: le videocamere di sicurezza low-cost sono a rischio hacking e privacy

La nota rivista Which!, legata all’associazione Consumers’ Association, ha scoperto che molte videocamere di sicurezza economiche vendute su Amazon hanno seri problemi di sicurezza e mettono a rischio la privacy. Il colosso statunitense per ora non ha commentato, ma la situazione è considerata talmente rischiosa dall’associazione dei consumatori inglese che è stata fatta una segnalazione al Dipartimento di Cultura, Media e Sport (DCMS) che sta lavorando sul codice Secure by Design per i prodotti Internet of Things.

Which! stima che vi siano circa 50mila videocamere a rischio nel paese, per lo più provenienti dalla Cina ad esempio con marchi Vstarcam, ieGeek, Srucam e SV3C. Il laboratorio Context Information Security che ha testato i prodotti sostiene che sono emersi problemi di diverso tipo, fra cui il rischio che i dati personali vengano esposti e la possibilità che hacker possano prendere controllo dei dispositivi spiando i possessori.

“Quando abbiamo analizzato la Vstarcam C7837WIP, il nome utente predefinito è risultato impostato su ‘admin’ di default con una password facilmente indovinabile”, scrive Which!. “Attraverso una semplice ricerca online, siamo stati in grado di recuperare il nome utente e la password per l’account amministratore. Ciò potrebbe consentire a qualcuno di controllare completamente la videocamera”.

Sempre secondo gli esperti, le ieGeek 1080p e Sricam 720p sembrano impiegare la stessa app. “Quando inserisci la tua password Wi-Fi, questa viene inviata non crittografata su Internet. Ciò potrebbe consentire a un utente malintenzionato di accedere alla tua rete Wi-Fi domestica, vedere dove stai navigando e persino ottenere l’accesso ai dati memorizzati su altri dispositivi collegati a casa, come tablet, laptop e altoparlanti intelligenti”. In alcuni casi come con la Victure 1080p è stato possibile un accesso “root” che ha abilitato il totale controllo.

“Questo problema è stato anche segnalato a maggio 2019 in una recensione di un cliente su Amazon, ma non è stato fatto nulla per risolverlo dal produttore e rimane in vendita”, sottolinea la rivista.

Lo specialista in sicurezza Paul Marrapese che ha collaborato all’inchiesta è riuscito ad hackerare i modelli Elite Security, Accfly Camhi APP Outdoor Security Camera 1080P e la Vstarcam C7837wip Wireless Camera 720P accedendo agevolmente in remoto a ogni flusso video e localizzandoli. Preoccupante, secondo la rivista, il fatto che almeno due prodotti su tre fossero segnalati come Amazon Choice con centinaia di recensioni.

“Sembra che non ci sia quasi nessun controllo di qualità su questi prodotti sotto-standard, che mettono a rischio la sicurezza delle persone e che tuttavia vengono approvati e venduti su Amazon e si fanno strada in migliaia di case britanniche”, dice Adam French, esperto di diritti dei consumatori per Which!.

“Amazon e altri mercatini online devono eliminare dalle vendite queste telecamere e migliorare il modo in cui controllano questi prodotti. Non dovrebbero certo sostenere prodotti che mettono a rischio la privacy delle persone. Se si rifiutano di assumersi maggiori responsabilità per proteggere i consumatori da questi prodotti rischiosi per la sicurezza, il governo dovrebbe cercare di renderli più responsabili”.

Il consiglio di Which!, per ora, è di scegliere solo i prodotti con un marchio riconosciuto, quindi controllare i rispettivi siti web e le informazioni che offrono. Cambiare sempre le password di default e non posizionare le videocamere nelle camere da letto o comunque in zone sensibili.

Aggiornamento. Amazon ha risposto sulla questione: “Per mettere in vendita qualunque prodotto nel nostro store, richiediamo che sia in regola con le leggi ed le normative vigenti e monitoriamo proattivamente diverse fonti per verificare le notifiche di sicurezza, inclusi gli enti regolatori e direttamente i brand, i produttori ed i venditori”.